137 75 2MB
German Pages 292 Year 2017
Internetrecht und Digitale Gesellschaft Band 5
Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personalund Mandantendaten
Von Daniel Schmid
Duncker & Humblot · Berlin
DANIEL SCHMID
Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen
Internetrecht und Digitale Gesellschaft Herausgegeben von
Dirk Heckmann
Band 5
Die Nutzung von Cloud-Diensten durch kleine und mittelständische Unternehmen Eine datenschutzrechtliche Betrachtung der Auslagerung von Kunden-, Personalund Mandantendaten
Von Daniel Schmid
Duncker & Humblot · Berlin
Die Juristische Fakultät der Universität Augsburg hat diese Arbeit im Sommersemester 2016 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2017 Duncker & Humblot GmbH, Berlin Satz: L101 Mediengestaltung, Fürstenwalde Druck: buchbücher.de GmbH, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-15092-2 (Print) ISBN 978-3-428-55092-0 (E-Book) ISBN 978-3-428-85092-1 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
Meiner Familie
Vorwort Cloud Computing, also die flexible und bedarfsabhängige Bereitstellung bzw. Nutzung von IT-Ressourcen, nimmt in Unternehmen eine immer größere Rolle ein. Die Nutzung von Cloud-Diensten stellt gerade kleine und mittelständische Unternehmen vor datenschutzrechtliche Herausforderungen. Die Rechtslage ist nicht leicht zu überblicken. Das gilt besonders derzeit, da es zu einigen weitreichenden Änderungen im europäischen Datenschutzrecht gekommen ist bzw. kommen wird. Im Oktober 2015 wurde beispielsweise das Safe Harbor-Abkommen, das jahrelang zur Rechtfertigung von Datentransfers an US-amerikanische Unternehmen diente, vom Europäischen Gerichtshof für ungültig erklärt. Im Juli 2016 verabschiedete die EU-Kommission das EU-US Privacy Shield, das die Nachfolge des Safe HarborAbkommens antritt. Im Mai 2016 ist außerdem die Europäische Datenschutzgrundverordnung in Kraft getreten, die ab 25. Mai 2018 in allen Mitgliedstaaten der EU gelten wird. Diese Untersuchung geht der Frage nach, ob kleine und mittelständische Unternehmen bzw. Rechtsanwaltskanzleien mit Sitz in Deutschland ihre Kunden-, Personal- bzw. Mandantendaten an einen deutschen, europäischen oder US-amerikanischen Cloud-Anbieter datenschutzkonform auslagern können und geht dabei auch auf die aktuellen Entwicklungen im europäischen Datenschutzrecht ein. Die vorliegende Arbeit wurde von der Juristischen Fakultät der Univer sität Augsburg im Sommersemester 2016 als Dissertation angenommen. Rechtsprechung und Literatur wurden bis einschließlich Juli 2016 berücksichtigt. Mein ganz besonderer Dank gilt meinem Doktorvater Herrn Professor Dr. Michael Kort für die Betreuung des Promotionsverfahrens und für die Erfahrungen, die ich als langjähriger Mitarbeiter an seinem Lehrstuhl für Bürgerliches Recht, Wirtschaftsrecht, Gewerblichen Rechtsschutz und Arbeitsrecht sammeln durfte. Außerdem danke ich Herrn Professor Dr. Ulrich Gassner für die rasche Erstellung des Zweitgutachtens und Herrn Prof. Dr. Dirk Heckmann für die Aufnahme in seine Schriftenreihe „Internetrecht und Digitale Gesellschaft“. Meiner Schwester Stefanie Schmid gilt mein Dank für das Korrekturlesen.
8 Vorwort
Gewidmet ist diese Arbeit meiner Frau Nadine Schmid und meinem Sohn Felix Schmid, die mein Leben außerordentlich bereichern, und meinen Eltern Waltraud und Georg Schmid, die mich auf meinem bisherigen Lebensweg in jeder Situation unterstützt haben. Augsburg, im August 2016
Daniel Schmid
Inhaltsübersicht A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 I. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 II. Cloud Computing als Chance für kleine und mittelständische Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 III. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 B. Grundlagen des Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 I. Definition des Begriffs „Cloud Computing“ . . . . . . . . . . . . . . . . . . . . . 31 II. Historische Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 III. Grundlegende Techniken und Technologien als Basis des Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 IV. Erscheinungsformen (Service-Modelle / Delivery Models) . . . . . . . . . . 47 V. Cloud-Modelle (Deployment-Modelle) . . . . . . . . . . . . . . . . . . . . . . . . . 52 VI. Wirtschaftliche Bedeutung des Cloud Computing . . . . . . . . . . . . . . . . 56 VII. Vorteile von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 VIII. Cloud Computing und Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . 63 IX. Nachteile von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 X. Beteiligte Personen und deren datenschutzrechtliche Rollen . . . . . . . . 68 XI. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 C. Auslagerung von Kunden- und Personaldaten in die Cloud . . . . . . . . . 71 I. Anwendbares Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Kundenund Personaldaten in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 D. Auslagerung von Mandantendaten in die Cloud durch Rechtsanwaltskanzleien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 I. Anwendbares Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Mandantendaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 III. Eingeschränkte Möglichkeit der Auslagerung von Mandantendaten in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 E. Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 I. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 II. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Inhaltsverzeichnis A. Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 I. Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 II. Cloud Computing als Chance für kleine und mittelständische Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 III. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 B. Grundlagen des Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 I. Definition des Begriffs „Cloud Computing“ . . . . . . . . . . . . . . . . . . . . . 31 1. National Institute of Standards and Technology (NIST) . . . . . . . . . 31 2. EU-Kommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 3. Bundesamt für Sicherheit in der Informationstechnik (BSI) . . . . . . 33 4. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 5. Giedke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 6. Baun / Kunze / Nimis / Tai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 7. Youseff / Butrico / Da Silva . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 8. Buyya / Yeo / Venugopal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 9. Gemeinsamkeiten der Definitionen von „Cloud Computing“ . . . . . 35 II. Historische Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 1. Verteilte Systeme und Skalierbarkeit . . . . . . . . . . . . . . . . . . . . . . . . 36 2. Cluster-Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3. Grid-Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 4. Utility-Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 5. IT-Outsourcing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 6. Application Service Providing (ASP) . . . . . . . . . . . . . . . . . . . . . . . . 40 7. Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 III. Grundlegende Techniken und Technologien als Basis des Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 1. Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 2. Service-orientierte Architektur (SOA) . . . . . . . . . . . . . . . . . . . . . . . 46 3. Breitbandinternetverbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 IV. Erscheinungsformen (Service-Modelle / Delivery Models) . . . . . . . . . . 47 1. Infrastructure-as-a-Service (IaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 2. Platform-as-a-Service (PaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3. Software-as-a-Service (SaaS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 4. Passendes Service-Modell für das Kunden- und Personaldatenmanagement kleiner und mittelständischer Unternehmen . . . . . . . . . . 51
12 Inhaltsverzeichnis V.
Cloud-Modelle (Deployment-Modelle) . . . . . . . . . . . . . . . . . . . . . . . . . 52 1. Private Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 2. Public Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 3. Community Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4. Hybrid Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 5. Passendes Cloud-Modell für kleine und mittelständische Unternehmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 VI. Wirtschaftliche Bedeutung des Cloud Computing . . . . . . . . . . . . . . . . 56 VII. Vorteile von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 1. Wirtschaftliche Vorteile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 2. Technische Vorteile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 3. Vorteile für den Cloud-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 VIII. Cloud Computing und Datensicherheit . . . . . . . . . . . . . . . . . . . . . . . . . 63 1. „Klassische“ Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 2. Cloudspezifische Risiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 IX. Nachteile von Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 X. Beteiligte Personen und deren datenschutzrechtliche Rollen . . . . . . . . 68 1. Der Cloud-Nutzer (Cloud-Anwender / Cloud-Kunde) . . . . . . . . . . . . 69 2. Der Cloud-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 3. Der Unterauftragnehmer (Subunternehmer / Ressourcen-Anbieter) . 69 4. Der Betroffene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 XI. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
C. Auslagerung von Kunden- und Personaldaten in die Cloud . . . . . . . . . 71 I. Anwendbares Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 1. Sachlicher Anwendungsbereich und Normadressat . . . . . . . . . . . . . 73 a) Vorrang spezialgesetzlicher Regelungen . . . . . . . . . . . . . . . . . . . 74 aa) Anwendbarkeit des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 bb) Anwendbarkeit des TMG . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 cc) Anwendbarkeit des BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . 79 b) BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 aa) Das personenbezogene Datum . . . . . . . . . . . . . . . . . . . . . . . 80 (1) Einzelangaben über persönliche oder sachliche Verhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 (2) Bestimmte bzw. bestimmbare Person . . . . . . . . . . . . . 81 (a) Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 (b) Bestimmbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 (aa) Theorie des absoluten (bzw. objektiven) Personenbezugs . . . . . . . . . . . . . . . . . . . . . . . . . . 83 (bb) Theorie des relativen (bzw. subjektiven) Personenbezugs . . . . . . . . . . . . . . . . . . . . . . . . . . 84 (cc) Subjektive Theorie unter Einbezug von ohne großem Aufwand beziehbarem Zusatzwissen 84
Inhaltsverzeichnis13 (dd) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . 85 (ee) Anonymisieren und Pseudonymisieren . . . . . 88 (ff) Auswirkungen durch Verschlüsselung . . . . . 90 (gg) Verschlüsselung im Rahmen von SaaSDiensten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 (hh) Entfallen des Personenbezugs durch Einsatz der „Sealed Cloud“ . . . . . . . . . . . . . . . . . . . . 93 (c) Kunden- und Personaldaten als bestimmte bzw. bestimmbare Daten . . . . . . . . . . . . . . . . . . . . . . . . . 95 (3) Besondere Arten personenbezogener Daten . . . . . . . . 95 (4) Aufspaltung (Fragmentierung) der personenbezogenen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 (5) Natürliche Person . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 bb) Erhebung, Verarbeitung und Nutzung . . . . . . . . . . . . . . . . . 97 (1) Erhebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 (2) Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 (3) Nutzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 cc) Normadressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 c) Sachlicher Anwendungsbereich des BDSG . . . . . . . . . . . . . . . . 102 d) Sachlicher Anwendungsbereich der DS-GVO . . . . . . . . . . . . . . 102 2. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 a) Grundsatz: Territorialprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 b) Sitzlandprinzip (§ 1 Abs. 5 Satz 1 Halbsatz 1 BDSG) . . . . . . . 105 c) Ausnahme vom Sitzlandprinzip: Niederlassungsprinzip bzw. abgeschwächtes Sitzlandprinzip (§ 1 Abs. 5 Satz 1 Halbsatz 2 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 d) Geltung des Territorialprinzips für verantwortliche Stellen außerhalb der EU bzw. des EWR (§ 1 Abs. 5 Satz 2 BDSG) . . . 106 e) Problematik der Anwendbarkeit des Territorialprinzips und des Sitzlandprinzips auf das Cloud Computing . . . . . . . . . . . . . . . . 107 f) Anwendbarkeit des Territorialprinzips und des Sitzlandprinzips auf das Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 g) Räumlicher Anwendungsbereich gem. BDSG . . . . . . . . . . . . . . 109 h) Räumlicher Anwendungsbereich gem. DS-GVO . . . . . . . . . . . . 110 II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Kundenund Personaldaten in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 1. Prinzip des Verbots mit Erlaubnisvorbehalt . . . . . . . . . . . . . . . . . . . 111 2. Vorliegen eines Erlaubnistatbestandes im nationalen Kontext . . . . 112 a) Abgrenzung von §§ 28, 29 und 32 BDSG . . . . . . . . . . . . . . . . . 113 b) Prüfung der einschlägigen Rechtsgrundlage für die Auslagerung von Kunden- und Personaldaten . . . . . . . . . . . . . . . . . . . . . . . . . 114 c) Kundendaten: Datenerhebung und -speicherung für eigene Geschäftszwecke (§ 28 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
14 Inhaltsverzeichnis aa) Verhältnis der drei Erlaubnistatbestände des § 28 Abs. 1 Satz 1 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 bb) Rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) . . . . . . . . . . . 115 cc) Wahrung berechtigter Interessen (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 (1) Berechtigte Interessen des Unternehmens . . . . . . . . . . 119 (2) Schutzwürdige Interessen des Kunden . . . . . . . . . . . . 119 (3) Gegenüberstellung der betroffenen Interessen des Unternehmens und des Kunden . . . . . . . . . . . . . . . . . . . . 119 (a) Verarbeitungszweck . . . . . . . . . . . . . . . . . . . . . . . . 120 (b) Dauer der Speicherung . . . . . . . . . . . . . . . . . . . . . 120 (c) Art bzw. Sensibilität der ausgelagerten Daten . . . 121 (d) Größe des auslagernden Unternehmens . . . . . . . . 121 (e) Transparenz der Datenverarbeitung . . . . . . . . . . . . 122 (f) Größe und Vertrauenswürdigkeit des Cloud-Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 (g) Interessenabwägung zugunsten des Unternehmens 122 dd) Allgemein zugängliche Daten (§ 28 Abs. 1 Satz 1 Nr. 3 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 d) Personaldaten: § 32 Abs. 1 Satz 1 BDSG bzw. § 28 Abs. 1 Satz 1 Nr. 2 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 e) Besondere Arten personenbezogener Daten (§ 28 Abs. 6 bis 9 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 f) Einschlägige Rechtsgrundlage für die Auslagerung von Kundendaten und Personaldaten im nationalen Kontext . . . . . . . . . 126 g) Erlaubnistatbestände der DS-GVO . . . . . . . . . . . . . . . . . . . . . . . 127 3. Einwilligung gem. § 4a BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 a) Freiwillige Entscheidung des Betroffenen . . . . . . . . . . . . . . . . . 129 b) Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 c) Schriftform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 d) Besondere Arten personenbezogener Daten . . . . . . . . . . . . . . . . 133 e) Widerrufsmöglichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 f) Konsequenzen bei Versagung der Einwilligung . . . . . . . . . . . . . 134 aa) Versagung der Einwilligung bei Vorliegen eines anderen Erlaubnistatbestandes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 bb) Versagung der Einwilligung bei Nicht-Vorliegen eines anderen Erlaubnistatbestandes . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 g) Nachträgliches Einholen der Einwilligung . . . . . . . . . . . . . . . . . 135 h) Geringe Praktikabilität der Einwilligung bei der Auslagerung von Kunden- und Personaldaten . . . . . . . . . . . . . . . . . . . . . . . . . 136 i) Einwilligung gem. DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 4. Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 5. Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
Inhaltsverzeichnis15 a) Dogmatische Einordnung und Rechtsnatur . . . . . . . . . . . . . . . . . 141 b) Funktionsübertragungstheorie und Vertragstheorie . . . . . . . . . . . 144 aa) Funktionsübertragungstheorie . . . . . . . . . . . . . . . . . . . . . . . . 144 bb) Vertragstheorie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 cc) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 c) Voraussetzungen einer Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 aa) Auswahl des Auftragnehmers unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen (§ 11 Abs. 2 Satz 1 BDSG) . . . . . 150 (1) Organisationskontrolle (Satz 1 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 (2) Zutrittskontrolle (Satz 2 Nr. 1 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 (3) Zugangskontrolle (Satz 2 Nr. 2 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 (4) Zugriffskontrolle (Satz 2 Nr. 3 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 (5) Weitergabekontrolle (Satz 2 Nr. 4 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 (6) Eingabekontrolle (Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 (7) Auftragskontrolle (Satz 2 Nr. 6 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 (8) Verfügbarkeitskontrolle (Satz 2 Nr. 7 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 (9) Trennungskontrolle (Satz 2 Nr. 8 der Anlage zu § 9 Satz 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 (10) Einhalten der Auswahlpflicht bei der Auswahl eines Cloud-Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 (11) Kritik an der Anlage zu § 9 Satz 1 BDSG . . . . . . . . 158 bb) Vertragsgestaltung bei der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 (1) Schriftformerfordernis . . . . . . . . . . . . . . . . . . . . . . . . . 159 (2) Gegenstand und Dauer des Auftrags (§ 11 Abs. 2 Satz 2 Nr. 1 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 (3) Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen (§ 11 Abs. 2 Satz 2 Nr. 2 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 (4) Nach § 9 BDSG zu treffende technische und organisatorische Maßnahmen (§ 11 Abs. 2 Satz 2 Nr. 3 BDSG). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 (5) Berichtigung, Löschung und Sperrung von Daten (§ 11 Abs. 2 Satz 2 Nr. 4 BDSG) . . . . . . . . . . . . . . . . 162
16 Inhaltsverzeichnis (6) Nach § 11 Abs. 4 BDSG bestehende Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG) 162 (7) Berechtigung zur Begründung von Unterauftragsverhältnissen (§ 11 Abs. 2 Satz 2 Nr. 6 BDSG) . . . . . . . 163 (8) Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (§ 11 Abs. 2 Satz 2 Nr. 7 BDSG) . . 163 (9) Mitteilungen über Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen die im Auftrag getroffenen Festlegungen (§ 11 Abs. 2 Satz 2 Nr. 8 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 (10) Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (§ 11 Abs. 2 Satz 2 Nr. 9 BDSG) . . . . . . . . . . . . . . . . 164 (11) Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (§ 11 Abs. 2 Satz 2 Nr. 10 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 (12) Kontrolle des Cloud-Anbieters und Dokumentation der Kontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 (a) Kontrolle vor Beginn der Datenverarbeitung . . . . 166 (b) Regelmäßige Kontrolle während der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 (c) Vorgehensweise bei Kontrollen . . . . . . . . . . . . . . . 167 (d) Problematik der Durchführung von Kontrollen beim Cloud Computing . . . . . . . . . . . . . . . . . . . . . 168 (e) Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 d) Weisungsgebundenheit (§ 11 Abs. 3 BDSG) . . . . . . . . . . . . . . . . 172 e) Einsatz von Unterauftragnehmern . . . . . . . . . . . . . . . . . . . . . . . . 173 f) Privilegierungswirkung der Auftragsdatenverarbeitung . . . . . . . 174 aa) Nicht-Vorliegen einer Nutzung i. S. v. § 3 Abs. 5 BDSG bei der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 bb) Vorliegen einer Nutzung i. S. v. § 3 Abs. 5 BDSG bei der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 cc) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 g) Erlaubnistatbestand für die Nutzung der personenbezogenen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 h) Auftragsdatenverarbeitung gem. DS-GVO . . . . . . . . . . . . . . . . . 178 6. Datenübermittlung und Auftragsdatenverarbeitung im internationalen Kontext . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 a) Datenübermittlung und Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Inhaltsverzeichnis17 aa) Datenübermittlung innerhalb der EU bzw. des EWR . . . . . 179 bb) Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR 180 b) Datenübermittlung und Auftragsvergabe in einen Drittstaat . . . 180 aa) Datenübermittlung in einen Drittstaat . . . . . . . . . . . . . . . . . 180 bb) Auftragsvergabe in einen Drittstaat . . . . . . . . . . . . . . . . . . . 181 (1) Bestimmen der Grenzüberschreitung . . . . . . . . . . . . . . 181 (2) Privilegierungswirkung bei Auftragsdatenverarbeitern aus Drittstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 (a) Fehlende Privilegierungswirkung des § 3 Abs. 8 Satz 3 BDSG für Auftragsdatenverarbeiter aus Drittstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 (b) Privilegierung des Auftragsdatenverarbeiters aus einem Drittstaat bei der Verwendung von EUStandardvertragsklauseln . . . . . . . . . . . . . . . . . . . . 184 (aa) Analogie zu § 3 Abs. 8 BDSG . . . . . . . . . . . 185 (bb) Modifizierte Interessenabwägung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG . . 186 (c) Vollharmonisierende Wirkung der DS-RL: Möglichkeit der unmittelbaren Anwendung . . . . . . . . . 187 (d) Konsequenzen der Rechtsprechung des EuGH: Unionsrechtswidrigkeit von § 3 Abs. 8 Satz 3 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 cc) Prüfung der ersten Stufe: Zulässigkeit der Datenübermittlung bzw. der Auftragsdatenverarbeitung nach dem BDSG . 189 (1) Zulässigkeit der Datenübermittlung . . . . . . . . . . . . . . . 189 (a) § 28 Abs. 1 Satz 1 Nr. 1 BDSG . . . . . . . . . . . . . . 190 (b) § 28 Abs. 1 Satz 1 Nr. 2 BDSG . . . . . . . . . . . . . . 190 (c) § 28 Abs. 6 bis 9 BDSG . . . . . . . . . . . . . . . . . . . . 191 (2) Zulässigkeit der Auftragsdatenverarbeitung . . . . . . . . 191 (3) Möglichkeit einer Datenübermittlung bzw. Auftragsdatenverarbeitung nach dem BDSG . . . . . . . . . . . . . . 191 dd) Prüfung der zweiten Stufe: Einhalten der besonderen Anforderungen im Rahmen von Datentransfers an Cloud-Anbieter aus Drittstaaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 (1) Angemessenes Datenschutzniveau . . . . . . . . . . . . . . . . 193 (a) Unionsrechtswidrigkeit von § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . 193 (b) Kriterien für die Angemessenheit des Datenschutzniveaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 (c) Feststellung der Angemessenheit durch die EUKommission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 (2) Sonderfall USA: Safe Harbor-Prinzipien . . . . . . . . . . 195 (a) „Safe Harbor 1.0“ . . . . . . . . . . . . . . . . . . . . . . . . . 195 (aa) Grundlagen der Safe Harbor-Zertifizierung . 195
18 Inhaltsverzeichnis (bb) Kritik an der Safe Harbor-Zertifizierung . . . 198 (b) Urteil des EuGH: Ungültigkeit von „Safe Harbor“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 (aa) Ursachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 (bb) Sachverhalt . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 (cc) Aussagen und Folgen des Urteils . . . . . . . . . 202 (c) „Safe Harbor 2.0“ . . . . . . . . . . . . . . . . . . . . . . . . . 207 (3) Erlaubnistatbestände trotz unangemessenem Datenschutzniveau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 (4) Angemessene Garantien . . . . . . . . . . . . . . . . . . . . . . . . 212 (a) Genehmigung durch die zuständige Aufsichtsbehörde . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 (b) EU-Standardvertragsklauseln . . . . . . . . . . . . . . . . . 213 (c) Binding Corporate Rules (BCR) . . . . . . . . . . . . . . 216 ee) Eingeschränkte Möglichkeit des datenschutzkonformen Auslagerns der Kunden- und Personaldaten in die USA . . . 217 ff) Datentransfers auf europäische Server von US-amerikanischen Cloud-Anbietern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 c) Eingeschränkte Möglichkeit der datenschutzkonformen Auslagerung von Kunden- bzw. Personaldaten auf internationale Cloud-Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 d) Datenübermittlung und Auftragsdatenverarbeitung im internatio nalen Kontext gem. DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 7. Rechtskonformität der Auslagerung von Kunden- bzw. Personaldaten in die Cloud nach dem BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . 221 D. Auslagerung von Mandantendaten in die Cloud durch Rechtsanwaltskanzleien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 I. Anwendbares Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 1. Vorrang der Bundesrechtsanwaltsordnung (BRAO) bzw. der Berufsordnung für Rechtsanwälte (BORA) . . . . . . . . . . . . . . . . . . . . . 222 2. Normadressat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 3. Räumlicher Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Mandantendaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 1. Datenschutzrechtliche Prüfung: Einwilligung, Erlaubnistatbestand oder Auftragsdatenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 2. Prüfung von § 203 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 a) Geschütztes Rechtsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 b) Fremdes Geheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 c) Täterkreis, Tathandlung und Taterfolg . . . . . . . . . . . . . . . . . . . . 229 d) Befugnis zur Offenbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 e) Subjektiver Tatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 f) Drittgeheimnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Inhaltsverzeichnis19 g) Straflose Auslagerung von Mandantendaten in die Cloud . . . . . 232 aa) Gehilfe i. S. v. § 203 Abs. 3 Satz 2 StGB . . . . . . . . . . . . . . . 232 bb) Ausdrückliche Einwilligung in Form einer Schweigepflicht entbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 cc) Befugnis in Form einer konkludenten oder mutmaßlichen Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 dd) Gesetzliche Befugnisnorm . . . . . . . . . . . . . . . . . . . . . . . . . . 240 ee) Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 ff) Arbeitnehmerüberlassung oder Doppelarbeitsverhältnis . . . 241 gg) Verschwiegenheitserklärung des Cloud-Anbieters und dessen Mitarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 hh) Genossenschaft von Berufsgeheimnisträgern am Beispiel der DATEV e.G. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 ii) Community Cloud und Sealed Cloud für Rechtsanwälte . . 242 h) Auswirkung der Neufassung von § 2 BORA auf die Strafbarkeit im Rahmen von § 203 StGB . . . . . . . . . . . . . . . . . . . . . . . . 243 III. Eingeschränkte Möglichkeit der Auslagerung von Mandantendaten in die Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 E. Zusammenfassung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 I. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 II. Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 Glossar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Abkürzungsverzeichnis a. A.
andere Ansicht
ABl.
Amtsblatt der Europäischen Union
Abs. Absatz a. E.
am Ende
AEUV
Vertrag über die Arbeitsweise der europäischen Union
AG Amtsgericht Anwbl.
Anwaltsblatt (Zeitschrift)
API
Application Programming Interface
ArbR Aktuell
Arbeitsrecht Aktuell (Zeitschrift)
ASP
Application Service Providing
Aufl. Auflage BAG Bundesarbeitsgericht BB
Betriebs-Berater (Zeitschrift)
BCR
Bindung Corporate Rules
BDSG Bundesdatenschutzgesetz BetrVG Betriebsverfassungsgesetz BGB
Bürgerliches Gesetzbuch
BGH Bundesgerichtshof BITKOM
Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.
BMJV
Bundesministerium der Justiz und für Verbraucherschutz
BORA
Berufsordnung der Rechtsanwälte
BRAK-Mitt.
Bundesrechtsanwaltskammer-Mitteilungen (Zeitschrift)
BRAO Bundesrechtsanwaltsordnung BSI
Bundesamt für Sicherheit in der Informationstechnik
BT-Drs. Bundestagsdrucksache BVerfG Bundesverfassungsgericht BYOD
Bring Your Own Device
bzw. beziehungsweise ca. circa CaaS Communication-as-a-Service CCZ
Corporate Compliance Zeitschrift (Zeitschrift)
22 Abkürzungsverzeichnis CR
Computer und Recht (Zeitschrift)
CuA
Computer und Arbeit (Zeitschrift)
DB
Der Betrieb (Zeitschrift)
DDoS
Distributed Denial of Service
d. h.
das heißt
Dok. Dokument DS-GVO EU-Datenschutzgrundverordnung DS-GVO-E EU-Datenschutzgrundverordnung-Entwurf DSK
Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder
DStR
Deutsches Steuerrecht (Zeitschrift)
DuD
Datenschutz und Datensicherheit (Zeitschrift)
EDV
Elektronische Datenverarbeitung
e. g.
exempli gratia
e.G.
eingetragene Genossenschaft
EG
Europäische Gemeinschaft
engl. englisch ENISA
European Network and Information Security Agency
EU
Europäische Union
EuGH
Europäischer Gerichtshof
EWR
Europäischer Wirtschaftsraum
f. folgend FBI
Federal Bureau of Investigation
ff. fortfolgend FISA
Foreign Intelligence Surveillance Act
FS Festschrift FTC
Federal Trade Commission
gem. gemäß GewO Gewerbeordnung GG Grundgesetz ggf. gegebenenfalls GmbH
Gesellschaft mit beschränkter Haftung
GRCh Grundrechtecharta h. M.
herrschende Meinung
HMD
Praxis der Wirtschaftsinformatik (Zeitschrift)
Hrsg. Herausgeber IaaS Infrastructure-as-a-Service IDE
Integrated Development Environment
Abkürzungsverzeichnis23 IDS
Intrusion Detection System
i. e. S.
im engeren Sinn
Inc. Incorporated IP
Internet Protocol
IPS
Intrusion Prevention System
i. S. d.
im Sinne des
i. S. v.
im Sinne von
IT Informationstechnik ITRB
Der IT-Rechts-Berater (Zeitschrift)
i. V. m.
in Verbindung mit
JURA
Juristische Ausbildung (Zeitschrift)
JuS
Juristische Schulung (Zeitschrift)
JZ
JuristenZeitung (Zeitschrift)
K&R
Kommunikation und Recht (Zeitschrift)
KG Kammergericht KOM Kommission LaaS Law-as-a-Service LG Landgericht LIBE
Ausschuss für bürgerliche Freiheiten, Justiz und Inneres
lit. littera MMR
Multimedia und Recht (Zeitschrift)
MMR-Aktuell
Multimedia und Recht-Aktuell (Zeitschrift)
m. w. N.
mit weiteren Nachweisen
n. F.
neue Fassung
NIST
National Institute of Standards and Technology
NJOZ
Neue Juristische Online-Zeitschrift (Zeitschrift)
NJW
Neue Juristische Wochenschrift (Zeitschrift)
Nr. Nummer NSA
National Security Agency
NSL
National Security Letter
NStZ
Neue Zeitschrift für Strafrecht (Zeitschrift)
NZA
Neue Zeitschrift für Arbeitsrecht (Zeitschrift)
OLG Oberlandesgericht PaaS Platform-as-a-Service PARL Parlament PC
Personal Computer
PinG
Privacy in Germany (Zeitschrift)
24 Abkürzungsverzeichnis PRISM
Planning Tool for Resource Integration, Synchronization and Management RDV Recht der Datenverarbeitung (Zeitschrift) Rn. Randnummer S. Seite SGB Sozialgesetzbuch SLA Service Level Agreement SOA Service-orientierte Architektur sog. sogenannt StGB Strafgesetzbuch StPO Strafprozessordnung TB Terabyte TKG Telekommunikationsgesetz TMG Telemediengesetz u. a. unter anderem ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Unterabs. Unterabsatz US United States USA United States of America US Patriot Act Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act usw. und so weiter VersR Versicherungsrecht (Zeitschrift) VG Verwaltungsgericht vgl. vergleiche VM Virtuelle Maschine VMM Virtual Machine Monitor wistra Zeitschrift für Wirtschafts- und Steuerstrafrecht (Zeitschrift) WP Working Paper XaaS Everything-as-a-Service z. B. zum Beispiel ZD Zeitschrift für Datenschutz (Zeitschrift) ZD-Aktuell Zeitschrift für Datenschutz-Aktuell (Zeitschrift) ZEuS Zeitschrift für Europarechtliche Studien (Zeitschrift) ZRP Zeitschrift für Rechtspolitik (Zeitschrift) ZUM Zeitschrift für Urheber- und Medienrecht (Zeitschrift)
A. Einführung I. Problemstellung Cloud Computing ist ein Phänomen, das etwa ab 2009 in den Fokus der Allgemeinheit gerückt ist.1 Inzwischen hat sich Cloud Computing etabliert.2 Der Begriff „Cloud Computing“ wurde vor allem von Ramnath K. Chellappa geprägt, der ihn im Rahmen einer Präsentation auf dem INFORMS Kongress in Dallas 1997 verwendete.3 Wörtlich übersetzt bedeutet Cloud Computing „Rechnen in der Wolke“.4 Die Wolke stand im IT-Sektor schon immer für eine Infrastruktur, die nicht richtig erfasst werden kann, da sie genauso nebulös ist wie eine Wolke.5 Beim Cloud Computing befinden sich die riesigen, global verteilten Rechenzentren der Cloud-Anbieter in der Wolke.6 Cloud Computing ist keine neue Technik oder Technologie. Schon bestehende Techniken und Technologien, wie Virtualisierung, verteiltes Rechnen und Breitbandinternetverbindungen, wurden vielmehr zu dem neuen Geschäftsmodell des Cloud Computing kombiniert. Hinter dem Geschäftsmodell des Cloud Computing steht die Idee, dass der Nutzer einer Cloud die Daten nicht mehr lokal bearbeitet, sondern auf einem Serververbund im Internet.7 Cloud Computing leitete also einen Paradigmenwechsel von „offline“ zu „online“ ein.8 Das Bild der Wolke verdeutlicht auch, dass es nicht 1 Mohamed,
A history of cloud computing. K&R 2013, 623. 3 Bedner, Sicherheit und rechtliche Gestaltung, S. 16; Lipsky, Herausforderungen für kleine und mittlere Unternehmen bei der Anwendung von Cloud Computing – Ein konzeptioneller Ansatz zur Modellierung einer genossenschaftlich organisierten Cloud, S. 52 f.; Fickert, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 419. 4 Lehmann / Giedke, CR 2013, 608. 5 Bisges, MMR 2012, 574; Söbbing, JURA 2010, 915 (918). 6 Obenhaus, NJW 2010, 651. 7 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 1 Rn. 1; Lipsky, Herausforderungen für kleine und mittlere Unternehmen bei der Anwendung von Cloud Computing – Ein konzeptioneller Ansatz zur Modellierung einer genossenschaftlich organisierten Cloud, S. 48; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 8; Funke / Wittmann, ZD 2013, 221; Spies, MMR 2009, Heft 5, XI; Wicker, MMR 2012, 783. 8 Nägele / Jacobs, ZUM 2010, 281. 2 Rath / Rothe,
26
A. Einführung
das eine Cloud Computing gibt. Vielmehr werden im Rahmen von Cloud Computing von den Cloud-Anbietern sehr unterschiedliche Dienste erbracht. Daraus folgt, dass eine einheitliche rechtliche Einordnung von CloudDiensten nicht möglich ist. Die rechtliche Bewertung muss vielmehr im Einzelfall vorgenommen werden.9 Die Cloud-Anbieter stellen den Cloud-Nutzern über die Dienste IT-Ressourcen zur Verfügung. Die angebotenen Ressourcen variieren je nach Erscheinungsform der Cloud. Der Cloud-Anbieter kann dem Cloud-Nutzer beispielsweise Prozessorleistung, Speicherplatz, eine Entwicklungsumgebung oder Softwareanwendungen bereitstellen.10 Welche Ressourcen und wie lange sie vom Cloud-Anbieter zur Verfügung gestellt werden, entscheidet der Cloud-Nutzer. Dieser Ansatz wird „as-a-Service“-Ansatz genannt.11 Mittlerweile findet man die Bezeichnung „as-a-Service“ häufig im IT-Umfeld, wie beispielsweise der Marketingbegriff „Windows-as-a-Service“ zeigt. „As-a-Service“ bedeutet hier, dass es nicht – wie bisher – in regelmäßigen Abständen eine neue Windows-Version geben wird, die neue Funktionen bereithält, sondern dass Windows 10 eine endgültige Version sein soll, die zukünftig in regelmäßigen Abständen mit neuen Funktionen versehen werden soll.12 Cloud Computing hat auf der ganzen Welt – auch in Deutschland – eine erhebliche wirtschaftliche Bedeutung. Obwohl Cloud Computing ein relativ junges Geschäftsmodell ist, ist der Umsatz schon längst im Milliardenbereich. Der Gesamtumsatz in Deutschland wird sich nach einer BITKOMStudie13 bis zum Jahr 2018 auf 19,8 Milliarden Euro steigern. Es ist noch kein Ende des positiven wirtschaftlichen Wachstums von Cloud Computing abzusehen. Das Wachstum des Cloud-Marktes hat viele Gründe. Der Einsatz von Cloud-Diensten entlastet beispielsweise die eigene IT-Abteilung von Unternehmen bzw. führt dazu, dass überhaupt keine eigene IT-Abteilung im Unternehmen benötigt wird.14 Cloud Computing führt außerdem zu einer Verlagerung der Kosten weg von Investitionskosten hin zu Betriebskosten.15 Aufgrund dieser Aspekte ist der Einsatz von Cloud-Diensten besonders für 9 Rath / Rothe,
K&R 2013, 623 (624). CR 2013, 608. 11 Heidrich / Wegener, in: Forgó / Helfrich / Schneider (Hrsg.), Betrieblicher Datenschutz, S. 476 Rn. 4. 12 Vahldiek, Analyse zu Windows 10: „Windows as a Service“. 13 BITKOM / Experton Group, Studie über Wachstum des Cloud Marktes. 14 Kalabis / Kunz / Wolf, DuD 2013, 512. 15 Bisges, MMR 2012, 574 (575); BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 13; DSK, Orientierungshilfe Cloud Comput ing – Version 2.0, S. 4. 10 Lehmann / Giedke,
I. Problemstellung27
kleine und mittelständische Unternehmen interessant. Zu den kleinen und mittelständischen Unternehmen zählen dabei Unternehmen, die zwischen zehn und 499 Arbeitnehmer beschäftigen und einen Umsatz von bis zu 50 Millionen Euro pro Jahr erwirtschaften.16 Der Cloud-Monitor17 von KPMG über den Einsatz von Cloud-Diensten in kleinen und mittelständischen Unternehmen zeigt, dass diese – trotz einem Anstieg der Nutzung von Public Cloud-Diensten von 15 Prozent auf 26 Prozent – dem Cloud Computing immer noch etwas zögerlich gegenüberstehen. Kleine und mittelständische Unternehmen zögern besonders, im Unternehmensumfeld Public Cloud-Dienste18 einzusetzen. Das Zögern ist unter anderem auf die rechtliche Problematik der Vereinbarkeit des Cloud Computing – gerade in der Form einer Public Cloud – mit dem geltenden Datenschutzrecht in Deutschland zurückzuführen. Da es keine leges speciales für den Einsatz von Cloud-Diensten gibt, müssen die allgemeinen Regelungen des Datenschutzrechts darauf angewandt werden.19 Die bestehenden Regelungen des Datenschutzrechts auf das Cloud Computing anzuwenden, ist mit einigen Problemen verbunden.20 Das ist aber angesichts des Alters der Regelungen des Bundesdatenschutzgesetzes (BDSG) wenig verwunderlich. Das BDSG, das noch von der Großrechnertechnologie des 20. Jahrhunderts geprägt ist, kann mit der raschen technischen Entwicklung der letzten Jahre und mit dem Wechsel der lokalen Datenverarbeitung zur Datenverarbeitung in der Cloud kaum Schritt halten.21 Es ist bezeichnend, dass sieben Jahre nach Aufkommen des Cloud Computing-Trends noch immer Unsicherheit bezüglich einer rechtskonformen Auslagerung von Daten in die Cloud herrscht. Diese Rechtsunsicherheit wurde durch aktuelle Entwicklungen im Datenschutzrecht und der damit verbundenen Änderung der Rechtslage noch verstärkt. EU-Kommission, EU-Parlament und Rat der EU haben sich inzwischen auf die Europäische Datenschutzgrundverordnung (im Folgenden: „DS-GVO“)22 geeinigt, die ab 25. Mai 2018 gelten wird und die großteils die bisherigen Datenschutz 16 Institut
für Mittelstandsforschung Bonn, KMU-Definition. Cloud-Monitor 2015; KPMG, Cloud-Monitor 2016. 18 Siehe dazu B. V. 2. 19 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1204 Rn. 21; Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 21 ff.; Pötters, NZA 2013, 1055. 20 Engels, K&R 2011, 548. 21 Weichert, RDV 2013, 8. 22 Verordnung (EU) 2016 / 679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 / 46 / EG (Datenschutz-Grundverordnung), ABl. EU Nr. L 119 vom 04.05.2016. 17 KPMG,
28
A. Einführung
regeln des BDSG ablösen wird. Auch hat der EuGH entschieden23, dass Datentransfers in die USA aufgrund der anlasslosen und massenhaften Überwachung der NSA nicht mehr auf das sog. „Safe Harbor-Abkommen“ gestützt werden dürfen. Vertreter der EU-Kommission und der USA haben sich Anfang Februar 2016 auf ein Nachfolgeabkommen, das sog. „EU-US Privacy Shield“, verständigt.24 Die EU-Kommission hat am 12. Juli 2016 das EU-US Privacy Shield angenommen, das ab diesem Zeitpunkt in Kraft getreten ist.25 Die Frage, ob Public Cloud-Dienste datenschutzkonform in Unternehmen zur Auslagerung von personenbezogenen Daten genutzt werden können, ist nach wie vor aktuell. Diese Frage ist gerade für kleine und mittelständische Unternehmen relevant, da der Einsatz von Cloud Computing für diese eine große Chance zur Kosteneinsparung bieten kann.
II. Cloud Computing als Chance für kleine und mittelständische Unternehmen Kleine und mittelständische Unternehmen können sich oft keine eigene oder zumindest keine große IT-Abteilung leisten. Den Unternehmen stehen dann nur begrenzte Rechenkapazität und begrenztes rechtliches und technisches Know-how zur Verfügung. Das Hauptanwendungsfeld des kommerziellen Cloud Computing dürfte daher in erster Linie bei den kleinen und mittelständischen Unternehmen liegen.26 Durch den Einsatz von Cloud Computing-Lösungen können kleine und mittelständische Unternehmen Kosten für die Einrichtung einer eigenen IT-Infrastruktur sparen.27 Daneben bieten kommerzielle Cloud-Anbieter aufgrund ihrer Spezialisierung auf Cloud Computing ein sehr hohes Schutzniveau, das sich kleine und mittelständische Unternehmen ansonsten finanziell nicht leisten könnten.28 Um zu sparen, bietet es sich für solche Unternehmen an, Daten, wie z. B. Kunden23 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 24 Artikel-29-Datenschutzgruppe, Stellungnahme zu den Konsequenzen des Schrems-Urteils; EU-Kommission, Pressemitteilung: EU-US-Datenschutzschild; EUKommission, Pressemitteilung: EU-Kommission stellt EU-US-Datenschutzschild vor; EU-Kommission, KOM(2016) 117 endgültig; Söbbing, ITRB 2016, 49; siehe für einen ersten Überblick Schreiber / Kohm, ZD 2016, 255 ff.; Weichert, ZD 2016, 209 ff. 25 EU-Kommission, Pressemitteilung: Europäische Kommission lanciert EU-USDatenschutzschild. 26 Weichert, DuD 2010, 679 (687). 27 Kalabis / Kunz / Wolf, DuD 2013, 512. 28 Artikel-29-Datenschutzgruppe, WP 196, S. 5; Hornung / Sädtler, DuD 2013, 148 (149).
III. Gang der Untersuchung29
und Personaldaten, in eine Public Cloud auszulagern. Nutzt ein kleines oder mittelständisches Unternehmen Cloud-Dienste in Form einer Public Cloud, können sich daraus weitreichende datenschutzrechtliche Konsequenzen ergeben. Dabei stellt sich u. a. die Frage, ob die kleinen und mittelständischen Unternehmen ihre Daten nur Cloud-Anbietern mit Sitz in Deutschland oder der Europäischen Union (EU) bzw. dem Europäischen Wirtschaftsraum (EWR)29 anvertrauen dürfen oder ob auch eine Auslagerung der Daten in eine Public Cloud im außereuropäischen Ausland rechtskonform möglich ist. Bei der Auslagerung der Daten an einen außereuropäischen Cloud-Anbieter wird ein besonderes Augenmerk auf die USA gelegt, da sich dort die großen Cloud-Anbieter wie Google, Amazon und Microsoft befinden. Die Untersuchung beschränkt sich auf nicht-öffentliche kleine oder mittelständische Unternehmen mit Sitz in Deutschland, die keine Zweigniederlassungen im Ausland besitzen. Die rechtliche Grundlage der Untersuchung sind die deutschen Gesetze, vorrangig das BDSG. Allerdings werden im Rahmen der Untersuchung auch Gemeinsamkeiten und Unterschiede der ab 25. Mai 2018 geltenden Rechtslage unter der DS-GVO erläutert.
III. Gang der Untersuchung In Kapitel B. werden die Grundlagen des Cloud Computing dargestellt. Zunächst wird eine Definition des Begriffs „Cloud Computing“ für die nachfolgende Untersuchung festgelegt. Anschließend wird anhand der historischen Entwicklung von verteilten Systemen bis hin zum Cloud Computing dargelegt, dass Cloud Computing keine gänzlich neue Technik oder Technologie, sondern eine Evolution der bisherigen Techniken und Technologien zu einem neuen Geschäftsmodell ist. Es folgt eine Darstellung der grundlegenden Techniken und Technologien, der unterschiedlichen Erscheinungsformen und der verschiedenen Modelle des Cloud Computing. Im weiteren Verlauf werden die wirtschaftliche Bedeutung von Cloud Computing und die mit der Nutzung einer Cloud verbundenen Vorteile, Sicherheitsrisiken und Nachteile dargelegt. Zuletzt werden die bei der Nutzung von CloudDiensten beteiligten Personen und ihre datenschutzrechtlichen Rollen betrachtet. Kapitel C. setzt sich mit den datenschutzrechtlichen Problemen der Auslagerung von Kunden- und Personaldaten an einen Cloud-Anbieter auseinander. Zunächst wird auf den sachlichen und den räumlichen Anwendungsbereich des Datenschutzrechts eingegangen. Anschließend erfolgt eine da29 Abkommen über den Europäischen Wirtschaftsraum: Der europäische Binnenraum wird durch dieses Abkommen auf Norwegen, Island und Liechtenstein erweitert.
30
A. Einführung
tenschutzrechtliche Prüfung der Zulässigkeit der Auslagerung von Kundenund Personaldaten an einen Cloud-Anbieter. Zunächst wird dabei das Prinzip des Verbots mit Erlaubnisvorbehalt, das in § 4 Abs. 1 BDSG geregelt ist, vorgestellt. Danach erfolgt die Prüfung der Rechtmäßigkeit der Auslagerung im nationalen Kontext anhand der Erlaubnistatbestände des BDSG, einer Einwilligung nach § 4a BDSG und einer Betriebsvereinbarung. Sodann wird auf die Möglichkeit der Auftragsdatenverarbeitung eingegangen, bevor schließlich die Datenübermittlung und Auftragsdatenverarbeitung im internationalen Kontext betrachtet werden. In Kapitel D. wird die Auslagerung von Mandantendaten einer Rechtsanwaltskanzlei an einen Cloud-Anbieter behandelt. Im Rahmen der Rechtmäßigkeitsprüfung der Auslagerung der Mandantendaten an einen Cloud-Anbieter kann nicht nur das Datenschutzrecht beachtet werden. Es ist vielmehr auch anhand berufsrechtlicher Normen (§ 43a Abs. 2 BRAO, § 2 BORA und § 203 StGB) zu untersuchen, ob eine Auslagerung rechtmäßig ist. Kapitel E. fasst die gewonnenen Erkenntnisse zusammen und enthält einen Ausblick.
B. Grundlagen des Cloud Computing I. Definition des Begriffs „Cloud Computing“ Eine einheitliche Definition des Begriffs „Cloud Computing“ gibt es bislang nicht.1 Diverse Institutionen und Autoren haben verschiedene Definitionen des Begriffs entwickelt. Diese unterscheiden sich in einigen Aspekten, stimmen aber auch in vielen Punkten überein. 1. National Institute of Standards and Technology (NIST) Eine Definition2 des National Institute of Standards and Technology (NIST) des US Department of Commerce (US-amerikanisches Handelsministerium) lautet folgendermaßen: „Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e. g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models.“ Deutsche Übersetzung durch das BSI: „Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“3 Die Definition des NIST besagt weiterhin, dass das Modell des Cloud Computing aus fünf wesentlichen Charakteristika, drei ServiceModellen und vier Deployment-Modellen zusammengesetzt ist. 1 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1194 Rn. 1; Baun / Kunze / Nimis / Tai, Cloud Computing – Web-basierte dynamische IT-Services, S. 1; Eckhardt, in: Borges / Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 98; Rhoton, Cloud Computing Explained, S. 3; Grünwald / Döpkens, MMR 2011, 287; Hornung / Sädtler, DuD 2013, 148 (149); Nägele / Jacobs, ZUM 2010, 281; Niemann / Paul, K&R 2009, 444 (445); Opfermann, ZEuS 2012, 121 (124); Schuster / Reichl, CR 2010, 38. 2 NIST, The NIST Definition of Cloud Computing, S. 2. 3 Deutsche Übersetzung durch das BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 14.
32
B. Grundlagen des Cloud Computing
Die fünf von dem NIST herausgebildeten wesentlichen Charakteristika4 von „Cloud Computing“ sind folgende: – On-demand Self-Service (Selbstbedienung nach Bedarf): Der CloudNutzer kann den Bezug der Ressourcen, wie z. B. Rechenleistung und Speicherplatz, selbst und ohne Kontaktaufnahme mit dem Cloud-Anbieter anpassen. – Broad Network Access (Umfassender Netzwerkzugriff): Der Cloud-Nutzer kann auf die angebotenen Dienste mit Standard-Mechanismen (meist über den Internetbrowser) über das Netz zugreifen und ist nicht an eine bestimmte Plattform, wie Smartphone, Tablet, Notebook oder DesktopPC, gebunden. – Resource Pooling (Gemeinsame Nutzung physischer Ressourcen): Der Cloud-Anbieter hält einen Vorrat an Ressourcen bereit. Aus diesem Vorrat können sich mehrere Cloud-Nutzer bedienen, wobei ihnen die Ressourcen je nach Bedarf zugeteilt werden. Diese dynamische Zuteilung heißt Multi-Tenancy-Modell. Die Cloud-Nutzer kennen dabei nicht den physischen Ort, also das Land, die Stadt oder das Rechenzentrum, an dem sich die Ressourcen befinden. – Rapid Elasticity (Unverzügliche Anpassbarkeit an den aktuellen Ressourcenbedarf): Der Cloud-Anbieter kann dem Cloud-Nutzer die Dienste schnell und elastisch bereitstellen. In manchen Fällen erfolgt diese Bereitstellung auch automatisch ohne Zutun des Cloud-Nutzers. Die Ressourcen erscheinen daher oft für den Cloud-Nutzer als unbegrenzt. – Measured Services (Messung der Servicenutzung): Der Cloud-Anbieter kann die Nutzung der Ressourcen messen sowie kontrollieren und anschließend dem Cloud-Nutzer die Nutzungszeit zur Kostenabrechnung zur Verfügung stellen.
4 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 57 ff. Rn. 8; Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 18 f. Rn. 5; Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 13 ff.; Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 21 ff.; Lenzer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 119 f. Rn. 15 ff.; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 14 f.; NIST, The NIST Definition of Cloud Computing, S. 2.
I. Definition des Begriffs „Cloud Computing“33
2. EU-Kommission Die EU-Kommission definiert5 „Cloud Computing“ folgendermaßen: „ ‚Cloud Computing‘ meint in einfachen Worten das Speichern, Verarbeiten und Verwenden von Daten, die sich in entfernten Rechnern befinden und auf die über das Internet zugegriffen wird.“
3. Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat folgende Definition6 für den Begriff „Cloud Computing“ festgelegt: „Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software.“
4. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) Konform zu der NIST-Definition definiert7 der Bundesverband Informa tionswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) „Cloud Computing“ als „[…] eine Form der Bereitstellung von gemeinsam nutzbaren und flexibel skalierbaren IT-Leistungen durch nicht fest zugeordnete IT-Ressourcen über Netze. Idealtypische Merkmale sind die Bereitstellung in Echtzeit als Self Service auf Basis von Internet-Technologien und die Abrechnung nach Nutzung. Damit ermöglicht Cloud Computing den Nutzern eine Umverteilung von Investitions- zu Betriebsaufwand. Die IT-Leistungen können sich auf Anwendungen, Plattformen für Anwendungsentwicklungen und -betrieb [und] Basisinfrastruktur beziehen.“
5 EU-Kommission,
KOM(2012) 529 endgültig, S. 1. Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 15 f. 7 BITKOM, Cloud Computing – Was Entscheider wissen müssen, S. 15. 6 BSI,
34
B. Grundlagen des Cloud Computing
5. Giedke Giedke definiert8 „Cloud Computing“ folgendermaßen: „Cloud Computing beschreibt den Verbund mehrerer Server (‚die Cloud‘ i. e. S.), aus dem die Nutzung von Software und Hardware angeboten und auf den über ein Netzwerk zugegriffen wird. In der Cloud gespeicherte Dateien, die sich aus mehreren Daten zusammensetzen, können nicht notwendigerweise einem bestimmten geografischen Ort zugeordnet werden, da ihre Einzelbestandteile auf mehreren oder sogar allen Servern der Cloud verteilt sein können. Die Durchführung der CloudDienste wird zumindest teilweise vom Nutzer entfernt durchgeführt.“
6. Baun / Kunze / Nimis / Tai Die Definition9 „Cloud Computing“ von Baun / Kunze / Nimis / Tai lautet folgendermaßen: „Unter Ausnutzung virtualisierter Rechen- und Speicherressourcen und moderner Web-Technologien stellt Cloud Computing skalierbare, netzwerk-zentrierte, abstrahierte IT-Infrastrukturen, Plattformen und Anwendungen als on-demand Dienste zur Verfügung. Die Abrechnung dieser Dienste erfolgt nutzungsabhängig.“
7. Youseff / Butrico / Da Silva Youseff / Butrico / Da Silva haben „Cloud Computing“ wie folgt definiert10: „[…] [C]loud computing can be considered a new computing paradigm that allows users to temporary utilize computing infrastructure over the network, supplied as a service by the cloud-provider at possibly one or more levels of abstraction.“ Deutsche Übersetzung durch den Verfasser: Cloud Computing kann als ein neues Computing-Paradigma angesehen werden, das es dem Nutzer ermöglicht, kurzzeitig IT-Infrastruktur über das Internet zu beziehen. Der Cloud-Anbieter stellt dabei die Dienstleistung möglicherweise abstrahiert auf mehreren Ebenen zur Verfügung.
8. Buyya / Yeo / Venugopal Buyya / Yeo / Venugopal definieren11 „Cloud Computing“ folgendermaßen: „A Cloud is a type of parallel and distributed system consisting of a collection of interconnected and virtualised computers that are dynamically provisioned and 8 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 47; Lehmann / Giedke, CR 2013, 608 (610 f.). 9 Baun / Kunze / Nimis / Tai, Cloud Computing – Web-basierte dynamische IT-Services, S. 4. 10 Youseff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Computing, S. 1. 11 Buyya / Yeo / Venugopal, Market-Oriented Cloud Computing, S. 2.
II. Historische Entwicklung35 presented as one or more unified computing resources based on service-level agreements established through negotiation between the service provider and consumers.“ Deutsche Übersetzung durch den Verfasser: Eine Cloud ist eine Art paralleles und verteiltes System. Das System besteht aus einer Sammlung von miteinander verbundenen und virtualisierten Computern, die dynamisch anpassbar sind und die sich als eine oder mehrere vereinheitlichte IT-Ressourcen darstellen. Die Bereitstellung der IT-Ressourcen basiert auf sog. Service Level Agreements, die der Cloud-Anbieter mit dem Nutzer aushandelt.
9. Gemeinsamkeiten der Definitionen von „Cloud Computing“ Die oben genannten Definitionen des Begriffs „Cloud Computing“ weisen sehr viele Gemeinsamkeiten auf. Sie stimmen darin überein, dass die Datenverarbeitung nicht lokal auf dem PC oder im Rechenzentrum des CloudNutzers, sondern auf den Servern des Cloud-Anbieters stattfindet. Der Cloud-Nutzer greift über eine Breitbandinternetverbindung auf die Server des Cloud-Anbieters zu. Durch den Einsatz von Virtualisierung auf den Servern des Cloud-Anbieters entsteht ein Pool von Hardware- und Softwareressourcen. Diese Ressourcen bietet der Cloud-Anbieter dem CloudNutzer als Dienste an. Durch den Einsatz von Virtualisierung kann der Cloud-Nutzer bei Bedarf sehr flexibel Ressourcen hinzubuchen. Dieser Untersuchung wird die Definition des NIST zugrunde gelegt. Die NIST-Definition ist sehr umfangreich und legt die grundlegenden Eigenschaften, Erscheinungsformen und Cloud-Modelle fest. Das NIST ist eine Bundesbehörde in den USA, die für die Entwicklung von Standards und Leitlinien verantwortlich ist.12 Das NIST ist im Bereich der Informationstechnologie in den USA eine wichtige Autorität. Da die ersten und zugleich wirtschaftlich bedeutendsten Cloud-Anbieter wie Google, Amazon oder Microsoft aus den USA stammen, verfügt die NIST-Definition über große Akzeptanz und setzt sich auch in Deutschland immer mehr durch.
II. Historische Entwicklung Auch wenn der Trend des Cloud Computing erst in den letzten Jahren aufkam, reicht die historische Entwicklung der Techniken und Technologien, auf denen Cloud Computing basiert, viele Jahrzehnte zurück. Die Entwicklung begann in den 60er Jahren des 20. Jahrhunderts mit verteilten Systemen. Beispiele für verteilte Systeme sind sog. „Computer-Grids“ und „Computer-Cluster“. Etwa zeitgleich entstand das Konzept des sog. „Utility12 NIST,
The NIST Definition of Cloud Computing, S. 1.
36
B. Grundlagen des Cloud Computing
Computing“. Die Idee, Aufgaben im IT-Bereich an externe Unternehmen auszulagern, kam mit dem sog. „IT-Outsourcing“ in den 80er Jahren des 20. Jahrhunderts auf. Ca. zehn Jahre später entwickelte sich dieses im Bereich der Miete von Software zum sog. „Application Service Providing“ (ASP) weiter. Am Ende dieser Entwicklung steht das Cloud Computing. 1. Verteilte Systeme und Skalierbarkeit Schon in den 60er Jahren des 20. Jahrhunderts entstand die Idee, man könne große Berechnungen effizienter durchführen, wenn man sie in mehrere Teile zerlege und diese Teile dann parallel berechne. Durch die Zusammenschaltung vieler kleiner Computer konnte man Berechnungen schneller durchführen, als wenn ein einzelner großer Supercomputer die Berechnungen durchgeführt hätte. Eine derartige Zusammenschaltung vieler kleiner Computer, die nach außen hin als ein einzelnes System erscheinen, ist eine Form eines verteilten Systems. Die einzelnen Teilsysteme heißen Knoten.13 Ein wesentliches Konzept von verteilten Systemen ist die Skalierbarkeit. Skalierbarkeit bedeutet, dass die Leistung eines Systems durch das Hinzufügen von Ressourcen oder weiteren Knoten proportional zunimmt. Dabei unterscheidet man zwischen horizontaler und vertikaler Skalierbarkeit. Horizontale Skalierbarkeit ist das Hinzufügen von Knoten zum System (sog. „scale out“). Vertikale Skalierbarkeit ist das Hinzufügen von Ressourcen, z. B. Prozessoren, Speicherplatz, Arbeitsspeicher (sog. „scale up“).14 Cluster- und Grid-Computing sind Beispiele für verteilte Systeme.15 2. Cluster-Computing Ein Computer-Cluster ist die Verbindung einer großen Anzahl von identischen Computern über ein Hochgeschwindigkeitsnetzwerk.16 Die Rechenkapazität und Verfügbarkeit wird durch das Cluster-Computing deutlich gegenüber der Rechenkapazität und Verfügbarkeit eines einzelnen Supercomputers erhöht. Ein Vorteil des Cluster-Computing ist die Ausfallsicherheit: Fällt ein Knoten des Clusters aus, hat dies keinen direkten Einfluss auf die übrigen 13 Vossen / Haselmann / Hoeren,
Cloud-Computing für Unternehmen, S. 13. Essentials of Cloud Computing, S. 3; Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 14 f.; Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 33 ff. 15 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 13. 16 Chandrasekaran, Essentials of Cloud Computing, S. 3; Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 15; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 55. 14 Chandrasekaran,
II. Historische Entwicklung37
Knoten des Clusters. Ziel des Cluster-Computing ist die Zur-Verfügung-Stellung von Rechenleistung bzw. einer ausfallsicheren Rechnerumgebung.17 3. Grid-Computing Eine Alternative zum Cluster-Computing ist das Grid-Computing. GridComputing ist ebenso wie Cluster-Computing eine Form des verteilten Rechnens. Durch Verbindung der Ressourcen einzelner Computer wird ein virtueller Supercomputer erzeugt. Die Kommunikation zwischen den Computern erfolgt über das Internet, wobei die Computer überall auf der Welt stehen können.18 Während ein Computer-Cluster aufgrund der Gleichartigkeit der Knoten sehr homogen ist, können sich die in ein Grid eingebundenen Systeme hinsichtlich Hardware und Software sehr unterscheiden. Neben gewöhnlichen Computern können in ein Grid auch Instrumente, wie beispielsweise ein Radioteleskop, eingebunden werden. Ein weiterer Unterschied zum Computer-Cluster besteht darin, dass ein Grid so konzipiert ist, dass nicht alle Systeme immer gleichzeitig eingeklinkt sein müssen, sondern dass beliebiges Ein- und Ausklinken möglich ist.19 Beim Grid-Computing ist es üblich, dass die eingeklinkten Maschinen und Instrumente eine einheitliche Aufgabe bearbeiten, die in mehrere Teilaufgaben unterteilt wurde (sog. „paralleles Rechnen“20). Computer-Grids werden daher eher bei der Lösung wissenschaftlicher Aufgaben verwendet.21 Grid-Computing unterscheidet sich vom Cloud Computing dadurch, dass beim Grid-Computing die Computer statisch gekoppelt sind, während die Cloud-Ressourcen dynamisch, also flexibel je nach Bedarf, zur Verfügung gestellt werden.22 Außerdem ist Grid-Computing darauf ausgerichtet, durch 17 Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 55; Büst, Was ist Cluster Computing? 18 Rhoton, Cloud Computing Explained, S. 11 f.; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 69; Hoeren / Spittka, MMR 2009, 583 (589); Söbbing, MMR 2008, Heft 5, XII. 19 Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 19 Rn. 7; Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 15 f. 20 Rhoton, Cloud Computing Explained, S. 11 f.; Lipsky, Herausforderungen für kleine und mittlere Unternehmen bei der Anwendung von Cloud Computing, S. 49. 21 Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 19 Rn. 7; Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 24; Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 17; Rhoton, Cloud Computing Explained, S. 11 f.; Lipsky, Herausforderungen für kleine und mittlere Unternehmen bei der Anwendung von Cloud Computing, S. 49. 22 Weichert, DuD 2010, 679.
38
B. Grundlagen des Cloud Computing
das Zusammenschalten von Ressourcen eine (beispielsweise wissenschaftliche) Aufgabe zu lösen. Bei Cloud Computing bietet der Cloud-Anbieter die zusammengeschalteten Ressourcen dagegen den Cloud-Kunden zur Nutzung von Diensten an.23 4. Utility-Computing Die Idee des Utility-Computing entstand ungefähr zeitgleich wie die Idee des verteilten Rechnens.24 Utility-Computing bezeichnet die Bereitstellung von Ressourcen (wie Rechenkapazität) und der gesamten Infrastruktur durch einen Service-Anbieter für einen Kunden. Der Kunde muss dabei nur für die Ressourcen bezahlen, die er auch tatsächlich nutzt. Nutzt der Kunde keine Ressourcen, muss er auch nichts bezahlen. Dieses Prinzip nennt sich „pay per use“. Utility-Computing wird manchmal auch als „On-Demand-Computing“ bezeichnet, was auf Deutsch so viel wie „Rechnen auf Anfrage“ bedeutet. Das Ziel von Utility-Computing ist die Steigerung der effizienten Ressourcennutzung und das Senken der dabei anfallenden Nebenkosten.25 Der Begriff „Utility“ steht dabei für Versorgung der Kunden mit Infrastruktur, wie das z. B. auch bei Wasser und Strom erfolgt.26 Im Unterschied zum UtilityComputing, bei dem der Vergleich der Bereitstellung von IT-Ressourcen mit anderen Ressourcen wie Wasser oder Strom im Vordergrund steht, ist Cloud Computing in erster Linie ein Geschäftsmodell.27 Cloud Computing kann aber als Verbreitungsmodell von Utility-Computing angesehen werden.28 5. IT-Outsourcing In den 80er Jahren des 20. Jahrhunderts entstand langsam das Konzept des sog. „IT-Outsourcing“.29 Der Begriff des „Outsourcing“ setzt sich zu23 Chandrasekaran, Essentials of Cloud Computing, S. 5; Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 29; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 57 f.; Brennscheidt, Cloud Computing und Datenschutz, S. 41 f. 24 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 19. 25 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 19; Büst, Was ist Utility Computing?; Lehmann / Giedke, CR 2013, 608 (610). 26 Küchler, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 87 f. Rn. 75; Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 17; Schuster / Reichl, CR 2010, 38 (39); Stiemerling / Hirschmeier, ITRB 2010, 146. 27 Lehmann / Giedke, CR 2013, 608; Schuster / Reichl, CR 2010, 38 (39). 28 Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 17; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 58. 29 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 16.
II. Historische Entwicklung39
sammen aus „Out“ und „Source“ und bedeutet die „Auslagerung von bisher in einem Unternehmen selbst erbrachten Leistungen an externe Auftragnehmer oder Dienstleister“.30 Outsourcing bezeichnet also in der Wirtschaft die komplette oder teilweise Auslagerung von Arbeits-, Produktions- oder Geschäftsprozessen einer Institution an externe Dienstleister.31 Während zunächst hauptsächlich Fertigungsaufgaben an externe Dienstleister ausge lagert wurden, kamen in den 1980er Jahren Überlegungen auf, auch ITAufgaben auszulagern. Man spricht dabei vom „IT-Outsourcing“.32 Beim klassischen IT-Outsourcing stehen jedem Kunden des IT-OutsourcingDienstleisters fest definierte Ressourcen exklusiv zur Verfügung, was als „Single-Tenancy-Architektur“ bezeichnet wird. Outsourcing-Verträge haben gewöhnlich längere Laufzeiten.33 Beim Cloud Computing dagegen teilen sich mehrere Cloud-Nutzer dieselben Ressourcen, was als sog. „Multi-Tenancy-Modell“ bezeichnet wird.34 Voraussetzung dafür ist das Fehlen einer festen Zuordnung physikalischer Ressourcen und die daraus resultierende Flexibilisierung und Skalierbarkeit, was durch Virtualisierung erreicht wird.35 Der Cloud-Nutzer kann jederzeit weitere Ressourcen – vorwiegend automatisiert ohne Zutun des Cloud-Anbieters – buchen. Cloud-Computing Verträge können meist flexibel über einen Zeitraum von wenigen Minuten bis hin zu mehreren Jahren geschlossen werden.36 Salopp gesagt ist Cloud Computing Outsourcing 2.0.37
30 Duden online zu „Outsourcing“; teilweise wird auch davon ausgegangen, dass „Outsourcing“ ein Kunstwort ist, das sich aus den Begriffen „outside“, „resource“ und „using“ zusammensetzt, so Krcmar, in: Borges / Meents (Hrsg.), Cloud Comput ing – Rechtshandbuch, S. 3 f. Rn. 6; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 58 f.; Sosna, Daten- und Geheimnisschutz bei Outsourc ing-Projekten im Krankenhausbereich, S. 17. 31 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 3; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18; Lutz / Weigl, CR 2014, 629. 32 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 16; Lutz / Weigl, CR 2014, 629. 33 Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 59 f.; Ardelt / Dölitzscher / Knahl / Reich, HMD 2011, Heft 281, 62 (63); BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18. 34 Stögmüller, in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 4 Rn. 7; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 59 f.; Ardelt / Dölitzscher / Knahl / Reich, HMD 2011, Heft 281, 62 (64). 35 Nägele / Jacobs, ZUM 2010, 281; Schulz / Rosenkranz, ITRB 2009, 232 (233). 36 Ardelt / Dölitzscher / Knahl / Reich, HMD 2011, Heft 281, 62 (64). 37 Seffer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 128 f. Rn. 1 ff.; Gaul / Koehler, BB 2011, 2229.
40
B. Grundlagen des Cloud Computing
6. Application Service Providing (ASP) Das Geschäftsmodell des Application Service Providing (ASP) findet sich seit Ende der 1990er Jahre.38 Beim ASP kauft der Kunde seine Softwareapplikationen nicht mehr, sondern bezahlt nur noch die temporäre Nutzung der Software.39 Die genutzte Software ist auf den Servern des Anbieters installiert.40 Der Kunde erhält exklusiv Zugriff auf die Applikation. Der Application Service Provider führt alle Wartungs- und Entwicklungsaufgaben durch. Der Kunde muss sich also nicht selbst um das Einspielen von Patches und Updates kümmern. Der Application Service Provider stellt jedem Kunden eine eigene Server- und Software-Instanz zur Verfügung.41 Die Bereitstellung der Applikationen erfolgt wie beim ITOutsourcing nach dem Single-Tenancy-Modell und nicht wie beim Cloud Computing nach dem Multi-Tenancy-Modell.42 Beim ASP erfolgt kein Ressourcenpooling wie beim Cloud Computing.43 Die Vergütung erfolgt beim ASP in festen Perioden.44 Das Geschäftsmodell des ASP konnte sich aber nicht in der IT-Branche durchsetzen.45 Ein großes Hindernis für die schnelle Verbreitung von ASP Ende der 1990er Jahre war das Fehlen von breitbandigen Internetanschlüssen.46 Hauptgrund für das Scheitern war jedoch das Single-Tenancy-Modell. Weil jeder Kunde seine eigene Instanz der Software erhielt, war der Konfigurations- und Wartungsaufwand des Anbieters oft nicht geringer, als wenn der Kunde die Applikationen im eigenen Unternehmen selbst betrieben hätte. Daher waren auch die Kosten für das ASP häufig nicht geringer als 38 Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 19 Rn. 9. 39 Küchler, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 83 Rn. 69; Röhrborn / Sinhart, CR 2001, 69; Söbbing, MMR 2008, Heft 5, XII. 40 Pohle / Ammann, K&R 2009, 625. 41 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 16 f.; Röhrborn / Sinhart, CR 2001, 69 (70). 42 Roth-Neuschild, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 521 Rn. 39; Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Out sourcing und Cloud-Computing, S. 1196 Rn. 6; Stögmüller, in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 4 Rn. 6 f.; Helwig / Koglin, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 176; Nägele / Jacobs, ZUM 2010, 281. 43 Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 20. 44 Pohle / Ammann, K&R 2009, 625. 45 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 17; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 17; Pohle / Ammann, K&R 2009, 625. 46 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 17; Pohle / Ammann, K&R 2009, 625.
II. Historische Entwicklung41
beim unternehmensinternen Betreiben der Software, weil die Application Service Provider aus ihren angebotenen Dienstleistungen, wie Wartung und zusätzlichen Serviceleistungen, Kapital schlagen wollten.47 7. Cloud Computing Die Anfänge des Cloud Computing gehen auf Google und Amazon zurück. Beide Firmen brauchen eine große Anzahl an Computer-Ressourcen, um ihre Kerngeschäfte effizient betreiben zu können. Google benötigt die Ressourcen u. a., um den Suchmaschinenindex aktuell zu halten und um die Suchanfragen der Benutzer zu bedienen.48 Amazon betreibt die größte E-Commerce-Plattform der Welt und hat Millionen Kunden am Tag.49 Google und Amazon benötigen dabei aber nicht zu jeder Zeit gleich viele Ressourcen. Es gibt Zeiten, in denen die Auslastung gering ist, und es gibt Zeiten – man denke beispielsweise an die (Vor-)Weihnachtszeit bei Amazon50 –, in denen es zu Lastspitzen kommt. Um während der geringen Last zeiten nicht benötigte Ressourcen nicht ungenutzt zu lassen, entstand die Idee, die nicht benötigten Ressourcen an Kunden weiterzugeben, woraus sich schließlich das Geschäftsmodell des Cloud Computing entwickelte.51 Cloud Computing ist keine neue Technik. Cloud Computing ist vielmehr die Verbindung bereits vorhandener Technologien und Techniken zu einem neuen Geschäftsmodell.52 Die Möglichkeit, jederzeit Ressourcen hinzubuchen und somit die benötigten Ressourcen skalieren zu können, und das gemeinsame Nutzen von Ressourcen hat das Cloud Computing von den verteil47 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 17; Pohle / Ammann, K&R 2009, 625 f. 48 Büst, Die historische Entwicklung des Cloud Computing. 49 Büst, Die historische Entwicklung des Cloud Computing. 50 Baun / Kunze / Nimis / Tai, Cloud Computing, S. 44; Rhoton, Cloud Computing Explained, S. 12 f.; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 44; Spies, MMR 2009, Heft 5, XI. 51 Rhoton, Cloud Computing Explained, S. 12 f.; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 44; Büst, Die historische Entwicklung des Cloud Computing; Youseff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Computing, S. 7. 52 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 1 Rn. 1; Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 11; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 53; Lenzer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 116 Rn. 2; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 8; Niemann / Hennrich, CR 2010, 686; Schuster / Reichl, CR 2010, 38; Wicker, MMR 2012, 783; Youseff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Comput ing, S. 2.
42
B. Grundlagen des Cloud Computing
ten Systemen übernommen.53 Die Idee des „On-Demand-Computing“ und der zeitgerechten Abrechnung des Benutzens von Ressourcen wurde dem Utility-Computing entlehnt. Das Konzept, Dienste nicht selbst vorzuhalten, sondern an externe Dienstleister auszulagern, wurde vom IT-Outsourcing übernommen. Der Nachfolger von ASP ist im Bereich des Cloud Computing das Buchen von Software über Software-as-a-Service (SaaS)54.
III. Grundlegende Techniken und Technologien als Basis des Cloud Computing Cloud Computing wäre ohne bestimmte Techniken und Technologien nicht möglich. Das Abstrahieren von Hardware-Ressourcen und Applikationen sind der Virtualisierungstechnologie entlehnt.55 Die Ausrichtung der IT-Infrastruktur auf die Geschäftsprozesse hat das Cloud Computing von der Service-orientierten Architektur (SOA) übernommen.56 Internetbasierte Dienste gab es auch schon seit Ende der 1990er Jahre, wie z. B. Web-Mail oder Routenplaner. Aber erst breitbandige Internetverbindungen ermöglichen eine Kombination dieser Techniken und Technologien.57 1. Virtualisierung Die Technologie der Virtualisierung von Hardware und Software ist die Basis, ohne die das dynamische Konzept des Cloud Computing nicht möglich wäre.58 Virtualisierung bezeichnet dabei die Möglichkeit, IT-Ressourcen gleichzeitig mehreren Anwendern zur Verfügung zu stellen.59 Der Begriff „virtuell“ bedeutet in dieser Hinsicht, dass die Ressourcen in der Art, wie 53 Niemann / Hennrich, CR 2010, 686; Schuster / Reichl, CR 2010, 38; Youseff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Computing, S. 2. 54 Siehe dazu B. IV. 3. 55 Niemann / Hennrich, CR 2010, 686; Schuster / Reichl, CR 2010, 38; Youseff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Computing, S. 2. 56 Schuster / Reichl, CR 2010, 38; Weichert, DuD 2010, 679. 57 Niemann / Hennrich, CR 2010, 686. 58 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1195 f. Rn. 5; Baun / Kunze / Nimis / Tai, Cloud Computing, S. 9; Chandrasekaran, Essentials of Cloud Computing, S. 105; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 39 f.; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 8; Birk / Heinson / Wegener, DuD 2011, 329; Birk / Wegener, DuD 2010, 641 (642); Funke / Wittmann, ZD 2013, 221 (222); Heidrich / Wegener, MMR 2010, 803; Nägele / Jacobs, ZUM 2010, 281; Pohle / Ammann, CR 2009, 273 (274). 59 Heidrich / Wegener, MMR 2010, 803.
III. Grundlegende Techniken und Technologien43
sie dem Kunden angeboten werden, nicht physisch real existieren, sondern vielmehr von einem Computer erzeugt werden.60 Die Virtualisierung entkoppelt Hardware und Software und ermöglicht das Betreiben einer Vielzahl von virtuellen Softwarestrukturen auf einer physisch vorhandenen Hardwarelandschaft.61 Mehrere physische Server können durch Virtualisierung als ein großer virtueller Computer erscheinen. Man spricht dabei von „Aggregation“. Aber auch ein physischer Computer kann durch Virtualisierung in mehrere virtuelle Computer aufgeteilt werden. Man spricht von „Parti tionierung“. Beim Cloud Computing erfolgen zuerst eine Aggregation und dann eine Partitionierung.62 Zunächst wird beispielsweise der Speicherplatz mehrerer physischer Computer durch Aggregation zu einem großen virtuellen Speicher zusammengefasst. Dieser große zusammengefasste Speicher wird dann durch Partitionierung wieder in kleinere Speichereinheiten aufgeteilt und den Kunden zur Verfügung gestellt. Die Größe des einem Kunden zur Verfügung gestellten Speicherplatzes kann durch den Cloud-Anbieter je nach Bedarf des Kunden verändert werden. Alle Cloud-Nutzer eines Public Cloud-Anbieters beispielsweise greifen grundsätzlich auf denselben Serververbund zu. Nur auf virtueller Ebene sind die Daten der Kunden voneinander getrennt.63 Für den Cloud-Kunden sieht es so aus, als ob er den CloudDienst alleine nutzt, obwohl auf demselben Server noch weitere CloudKunden die Ressourcen des Cloud-Anbieters nutzen.64 Die Virtualisierungstechnologie besteht aus virtuellen Maschinen (kurz: VM) und dem Virtual Machine Monitor (kurz: VMM, auch Hypervisor genannt).65 Eine virtuelle Maschine läuft als Software auf physischer Hardware und ahmt dabei die Funktionsweise eines Computers nach. Software, die innerhalb einer virtuellen Maschine läuft, „merkt“ also nicht, dass ihr der virtuelle Computer durch eine andere Software nur „vorgegaukelt“ wird.66 Bei Infrastructure-as-a-Service (IaaS)67 läuft auf dem Serververbund des Cloud60 Vossen / Haselmann / Hoeren,
Cloud-Computing für Unternehmen, S. 17 ff. ZUM 2010, 281; Pohle / Ammann, CR 2009, 273 (274). 62 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 49 ff.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 20 f.; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 8; Lehmann / Giedke, CR 2013, 608 (611 f.). 63 Lehmann / Giedke, CR 2013, 608 (612); Nägele / Jacobs, ZUM 2010, 281. 64 Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 15 f. 65 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 54 ff.; Lehmann / Giedke, CR 2013, 608 (613). 66 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 71 Rn. 41. 67 Siehe dazu B. IV. 1. 61 Nägele / Jacobs,
44
B. Grundlagen des Cloud Computing
Anbieters eine große Anzahl von virtuellen Maschinen, die den CloudNutzern einzeln als komplette Rechner zur Verfügung gestellt werden. Bei Software-as-a-Service (SaaS)68 installiert der Cloud-Anbieter je nach Anforderungen an die Software die Anwendung entweder auf einem virtuellen Computer, der einem einzelnen Kunden zugeteilt ist, oder er installiert auf einem virtuellen Rechner sog. „multitenant applications“, auf die mehrere Kunden zugleich zugreifen können.69 Der Hypervisor teilt die Ressourcen dynamisch, d. h. flexibel je nach Zeit oder Last, auf die virtuellen Maschinen auf und sorgt dafür, dass jeder Kunde nur Zugriff auf seine eigene virtuelle Maschine hat.70 Die vorhandenen Ressourcen können durch die Aufteilung auf die virtuellen Maschinen (sog. „Lastverteilung“) maximal ausgelastet werden.71 Flexibilität und Skalierbarkeit des Cloud Computing ist also erst durch den Einsatz des Hypervisors möglich.72 Der Cloud-Nutzer bekommt nur Zugriff auf den virtuellen Computer und nicht auf das physische Gesamtsystem. Er ist aber auf die ordnungsgemäße Funktionsweise des Hypervisors angewiesen. Der Hypervisor ist eine wesentliche Sicherheitskomponente eines virtuellen Systems und ist damit eine mögliche Schwachstelle für Angriffe. Gelingt es einem Angreifer, den Hypervisor zu übernehmen, hat er Zugriff auf alle virtuellen Maschinen und somit Zugriff auf die Daten aller Kunden des Cloud-Anbieters.73 Die Cloud-Nutzer wissen meist nichts von der eingesetzten Technik und demnach auch nicht, zu welchem Zeitpunkt auf welchem Server in welchem Land sich ihre Daten befinden. Der Cloud-Anbieter dagegen kann nachvollziehen, wo sich die Daten seiner Kunden zu welchem Zeitpunkt befinden. Zwar erfolgt die Verteilung der Daten automatisch durch den Hypervisor, aber der Cloud-Anbieter kann auf diese Systemkomponente zugreifen. Dennoch bringt die Dokumentation, zu welchem Zeitpunkt auf welchem Server sich welche Daten von welchem Kunden befinden, einen sehr hohen Aufwand mit sich.74 68 Siehe
dazu B. IV. 3. Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 55 f.; Lehmann / Giedke, CR 2013, 608 (613). 70 Chandrasekaran, Essentials of Cloud Computing, S. 107; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803. 71 Birk / Wegener, DuD 2010, 641 (642); Nägele / Jacobs, ZUM 2010, 281. 72 Birk / Wegener, DuD 2010, 641 (642). 73 Heidrich / Wegener, in: Forgó / Helfrich / Schneider (Hrsg.), Betrieblicher Datenschutz, S. 476 f. Rn. 7; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803. 74 Lehmann / Giedke, CR 2013, 608 (612). 69 Giedke,
III. Grundlegende Techniken und Technologien45
Den Einsatz der Virtualisierungstechnik zeigt das folgende Beispiel75: Kunde A benötigt Speicherplatz in der Cloud. Zunächst wird ihm der Speicherplatz auf einem Server in München zur Verfügung gestellt. Ist dieser Server (nahezu) ausgelastet, stellt der Cloud-Anbieter dem Kunden A einen weiteren Server in Indien bereit. Ist dieser Server in Indien wiederum ausgelastet, stellt der CloudAnbieter dem Kunden A einen weiteren Server in Singapur zur Verfügung. Sollten dem Cloud-Anbieter selbst die Ressourcen ausgehen, kann er weitere Ressourcen von einem Subunternehmer hinzubuchen. Der Kunde A merkt von diesen Vorgängen nichts.
Ein großer Vorteil des Einsatzes der Virtualisierungstechnologie ist die Einsparung von Ressourcen: Durch die Verbindung der physisch vorhandenen Server zu einem Serververbund können die einzelnen Server vollständig ausgelastet werden. Nicht genutzte Server können in dieser Zeitspanne abgeschaltet werden. Durch Virtualisierung kann die physische Hardware verringert werden. Damit fallen auch weniger Energiekosten und Personalkosten für die Wartung des Serververbunds an.76 Außerdem wird durch den Einsatz von Virtualisierungstechniken die Verfügbarkeit der Systeme erhöht, da ein einfaches Verschieben der Daten von defekten Servern auf andere, funktionierende Server möglich ist.77 Abbildung 178 gibt einen Überblick über die Funktionsweise von Virtualisierung.
Abbildung 1: Funktionsweise der Virtualisierung von Speicherplatz in der Cloud 75 Söbbing,
MMR 2008, Heft 5, XII (XIII). in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 71 f. Rn. 42; Grützmacher, ITRB 2011, 193. 76 Schorer,
46
B. Grundlagen des Cloud Computing
2. Service-orientierte Architektur (SOA) Eine Service-orientierte Architektur (SOA) ist eine IT-Architektur, die aus mehreren unabhängigen Diensten (sog. „Services“) besteht. Diese Dienste können verbunden werden, sie können aber auch lose miteinander kommunizieren. Eine SOA eines Unternehmens ist Voraussetzung dafür, Cloud-Dienste in die eigenen Geschäftsabläufe integrieren zu können. Die SOA ist also die Schnittstelle zwischen den internen Geschäftsabläufen eines Unternehmens und der externen Nutzung von Cloud-Diensten.79 Über SOA können Geschäftsprozesse auf eine heterogene IT abgebildet werden.80 Ändert sich ein Geschäftsprozess, kann eine schnelle Anpassung der IT über die SOA erfolgen.81 3. Breitbandinternetverbindung Cloud-Nutzer greifen über das Internet auf die Cloud-Angebote zu.82 Erst Breitbandinternetverbindungen erlauben aufgrund ihrer hohen Geschwindigkeit das Anbieten und Nutzen von Cloud-Diensten, sogar für mobile Endgeräte.83 Aufgrund der zunehmenden Verbreitung von Breitbandinternetverbindungen sowohl in Deutschland als auch global kann von (fast) jedem Ort mit sehr hoher Geschwindigkeit auf das Internet und somit auf die CloudDienste zugegriffen werden. Der Siegeszug von Cloud Computing wurde erst durch Breitbandinternetverbindungen ermöglicht.84 In den meisten Fällen stammt die Breitbandinternetverbindung nicht vom Cloud-Anbieter, sondern von einem eigenständigen Anbieter. In diesem Fall ist zu beachten, dass der Anbieter genügend Bandbreite für die problemlose Nutzung der Cloud-Dienste bereitstellen muss.85 77 Grützmacher,
ITRB 2011, 193. basiert auf Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 52; Lehmann / Giedke, CR 2013, 608 (611 f.). 79 Baun / Kunze / Nimis / Tai, Cloud Computing, S. 19 ff.; BITKOM, Cloud Comput ing – Evolution in der Technik, Revolution im Business, S. 73. 80 Weichert, DuD 2010, 679. 81 BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 73. 82 Obenhaus, NJW 2010, 651. 83 Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 3; Niemann / Hennrich, CR 2010, 686. 84 Krcmar, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 16 Rn. 55; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 22; Schuster / Reichl, CR 2010, 38 (39 f.). 85 Karger / Sarre, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 429; Opfermann, ZEuS 2012, 121 (126). 78 Abbildung 1
IV. Erscheinungsformen (Service-Modelle / Delivery Models)47
IV. Erscheinungsformen (Service-Modelle / Delivery Models) Es gibt nicht „ein“ Cloud Computing.86 Vielmehr sind die Leistungen, die unter dem Begriff des Cloud Computing angeboten werden, sehr vielfältig.87 Sie reichen von der Bereitstellung von Hardware-Ressourcen über die Bereitstellung von Entwicklungsumgebungen bis hin zur Bereitstellung von Anwendungen, wie Web-Mail, Office und Kundenmanagementapplikationen.88 Diese Leistungen kann man in drei grundsätzliche Erscheinungsformen89 (Service-Modelle / Delivery Models) einteilen: Infrastructure-as-aService (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Es sind weitere als die oben genannten drei Arten von Services denkbar.90 Diese Arten können unter dem Begriff XaaS (Everything-as-a-Service) zusammengefasst werden, wobei das X als Platzhalter für den jeweiligen Service steht.91 Bei einigen Cloud-Diensten fällt es schwer, eine trennschar86 Hennrich,
CR 2011, 546; Hornung / Sädtler, CR 2012, 638. Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 81; Niemann / Hennrich, CR 2010, 686. 88 Gaul / Koehler, BB 2011, 2229. 89 Krcmar, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 23 Rn. 15; Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1195 Rn. 3; Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 5 Rn. 10 ff.; Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 25 ff. Rn. 35 ff.; Westerfeld, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 9 Rn. 6 ff.; Bierekoven, ITRB 2010, 42 f.; Birk / Heinson / Wegener, DuD 2011, 329 f.; Engels, K&R 2011, 548; Grenzer / Heitmüller, PinG 2014, 221 (222); Heidrich / Wegener, MMR 2010, 803 (804); Hennrich, CR 2011, 546 f.; Hornung / Sädtler, DuD 2013, 148 (149); Lehmann / Giedke, CR 2013, 608 (609); Nägele / Jacobs, ZUM 2010, 281 (282); Niemann / Hennrich, CR 2010, 686 f.; Niemann / Paul, K&R 2009, 444 (445); Opfermann, ZEuS 2012, 121 (124); Paulus, DuD 2011, 317 (318); Rammos / Vonhoff, CR 2013, 265 (266); Roth-Neuschild, ITRB 2013, 213 (214); Spies, MMR 2009, Heft 5, XI; Weichert, DuD 2010, 679. 90 So bei Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 34 f. Rn. 18; Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 28 Rn. 42; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18; Hornung / Sädtler, DuD 2013, 148 (149); Schuster / Reichl, CR 2010, 38 f. 91 Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 34 f. Rn. 18; Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 27 f.; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 31 f.; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18; Hornung / Sädtler, DuD 2013, 148 (149); Opfermann, ZEuS 2012, 121 (124); Roth-Neuschild, ITRB 2013, 213 (214). 87 Giedke,
48
B. Grundlagen des Cloud Computing
fe Abgrenzung voneinander zu finden.92 Meist können diese neuen ServiceTypen auch den drei „Haupt-Erscheinungsformen“ zugeordnet werden.93 Aufgrund der unterschiedlichen Ausgestaltung der Service-Modelle können keine pauschalen Aussagen getroffen werden, ob die Nutzung der Modelle generell datenschutzrechtlich zulässig ist. Vielmehr ist für jeden CloudService eine datenschutzrechtliche Einzelfallbetrachtung notwendig.94 Die drei Haupterscheinungsformen lassen sich als Pyramidenmodell (Abbildung 2) darstellen.95
Abbildung 2: Pyramidenmodell des Cloud Computing
1. Infrastructure-as-a-Service (IaaS) Infrastructure-as-a-Service (IaaS) ist die Bereitstellung eines Teils der Infrastruktur durch den Cloud-Anbieter.96 Dabei kann es sich um Rechen92 Krcmar, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 23 Rn. 16; Grenzer / Heitmüller, PinG 2014, 221 (222); Niemann / Paul, K&R 2009, 444 (445); Sujecki, K&R 2012, 312. 93 Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 31 f.; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18. 94 Rath / Rothe, K&R 2013, 623 (624). 95 Abbildung 2 basiert auf Chandrasekaran, Essentials of Cloud Computing, S. 68; Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 17; Fickert, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 420; Giebichenstein, BB 2011, 2218; Youseff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Computing, S. 4. 96 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1200 Rn. 12; Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Comput
IV. Erscheinungsformen (Service-Modelle / Delivery Models)49
leistung, Speicherplatz, Netzwerkbandbreite oder andere Ressourcen zum Betrieb eines virtuellen Systems handeln.97 Der Cloud-Anbieter trägt die Verantwortung für die Konfiguration und das Betreiben der Hardware und des Hypervisors. Der Cloud-Nutzer ist selbst verantwortlich für das Konfigurieren des auf die virtuelle Maschine aufsetzenden Betriebssystems und das Installieren von Anwendungen. Beispiele sind Amazons Elastic Com pute Cloud (EC2)98 oder Dropbox99.100 Ein Cloud-Anbieter, der IaaS anbietet, muss den Server nicht selbst betreiben. Es ist durchaus möglich, dass der Cloud-Anbieter seine Server durch Dritte betreiben lässt oder selbst Kunde eines IaaS-Angebotes ist.101 IaaS setzen Unternehmen meist dann ein, wenn sie (mehr) Rechenleistung oder Speicherplatz benötigen. Kleine und mittelständische Unternehmen verwenden IaaS vor allem zum Abfangen von Lastspitzen.102 Eine weitere Einsatzmöglichkeit ist die Verwendung eines IaaS-Dienstes zum Betreiben einer Black-Box-Speicherlösung. Das Unternehmen legt also ein verschlüsseltes Backup auf den Servern des Cloud-Anbieters ab. Das Unternehmen hat dabei allein den Schlüssel zur Entschlüsselung der Daten.103 2. Platform-as-a-Service (PaaS) Bei Platform-as-a-Service (PaaS) stellt der Cloud-Anbieter dem CloudNutzer sowohl eine virtuelle Maschine als auch zusätzlich eine Entwicking, S. 37 Rn. 27; Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 31 f.; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803 (804); Hennrich, CR 2011, 546 f.; Lehmann / Giedke, CR 2013, 608 (609); Sujecki, K&R 2012, 312 (313). 97 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1200 Rn. 12; Kittlaus, in: Hilber (Hrsg.), Handbuch Cloud Comput ing, S. 37 Rn. 27; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 29; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 17; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 16; Grenzer / Heitmüller, PinG 2014, 221 (222); Heidrich / Wegener, MMR 2010, 803 (804). 98 Amazon EC2, https: // aws.amazon.com / de / ec2. 99 Dropbox, https: // www.dropbox.com / de. 100 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1200 Rn. 12; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 12; Birk / Wegener, DuD 2010, 641 (642); Engels, K&R 2011, 548; Heidrich / Wegener, MMR 2010, 803 (804). 101 Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 14; Grenzer / Heitmüller, PinG 2014, 221 (222). 102 Birk / Wegener, DuD 2010, 641 (643); Hennrich, CR 2011, 546 f. 103 Heidrich / Wegener, MMR 2010, 803 (806 f.).
50
B. Grundlagen des Cloud Computing
lungsumgebung zur Verfügung. Software-Entwickler können so Anwendungen in einer integrierten Entwicklungsumgebung (engl.: Integrated Development Environment, kurz: IDE) programmieren, kompilieren und anschließend ausführen. Beispiele sind Microsoft Azure104 oder die App Engine von Google105.106 PaaS-Dienste sind besonders für geografisch verteilte Entwicklergruppen interessant. Diese können über PaaS gemeinsam und gleichzeitig an Projekten arbeiten.107 Bei PaaS trägt der Cloud-Anbieter die Verantwortung für die Hardware, den Hypervisor und das Betriebssystem, auf dem die Entwicklungsumgebung läuft. Der Nutzer kontrolliert dagegen nur seine Anwendungen, die auf der Plattform laufen.108 3. Software-as-a-Service (SaaS) Software-as-a-Service (SaaS) bezeichnet die Möglichkeit, dass der CloudAnbieter dem Cloud-Nutzer nur Applikationen, also Anwendungen, zur Verfügung stellt. Der Cloud-Nutzer kann auf diese Anwendungen über eine vordefinierte Schnittstelle (engl.: API) zugreifen.109 Die Anwendungen sind auf dem Serververbund des Cloud-Anbieters installiert.110 Dabei benutzt nicht jeder Cloud-Nutzer eine eigene Installation der Anwendung. Vielmehr greift eine Vielzahl von Cloud-Nutzern auf dieselbe Installation zu. Der Vorteil dabei ist, dass die Anwendung für alle Nutzer zentral gewartet und aktualisiert werden kann.111 Der Zugriff auf die verfügbaren Services erfolgt zumeist über einen Internetbrowser. Der Zugriff kann aber auch – aus Praktikabilitätsgründen seltener – über eine spezielle, vom Cloud-Anbieter zur Verfügung gestellte, Client-Software erfolgen.112 Der Cloud-Anbieter ist 104 Microsoft
Azure, https: // azure.microsoft.com / de-de. App Engine, https: // cloud.google.com / appengine / . 106 Birk / Wegener, DuD 2010, 641 (642 f.); Engels, K&R 2011, 548; Heidrich / Wegener, MMR 2010, 803 (804); Hennrich, CR 2011, 546 (547). 107 Birk / Wegener, DuD 2010, 641 (643). 108 Chandrasekaran, Essentials of Cloud Computing, S. 17; Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 14; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 30; Brennscheidt, Cloud Computing und Datenschutz, S. 33 f.; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18; Söbbing, ITRB 2016, 140. 109 Birk / Wegener, DuD 2010, 641 (643); Hennrich, CR 2011, 546 (547). 110 Niemann / Paul, K&R 2009, 444 (445). 111 Krcmar, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 27 Rn. 31. 112 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 68 f. Rn. 32 ff.; Bisges, MMR 2012, 574; DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 8; Niemann / Paul, K&R 2009, 444 (448); Pohle / Ammann, K&R 2009, 625 (626). 105 Google
IV. Erscheinungsformen (Service-Modelle / Delivery Models)51
verantwortlich für die Hardware und den Hypervisor, das Betriebssystem und die darauf aufsetzende Software, die als SaaS angeboten wird.113 Auch hierbei gilt, dass der Anbieter des SaaS-Dienstes die Server nicht selbst betreiben muss. Gerade kleinere SaaS-Anbieter mieten ihrerseits häufig die genutzten Server von IaaS-Anbietern an.114 Beispiele von SaaS-Anwendungen sind Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen.115 Prominentestes Beispiel einer SaaSAnwendung ist wohl GMail116.117 4. Passendes Service-Modell für das Kunden- und Personaldatenmanagement kleiner und mittelständischer Unternehmen Die Hauptgründe eines kleinen oder mittelständischen Unternehmens, Cloud Computing zu nutzen, sind Kosteneinsparungen und die Konzentration auf die Kernkompetenz. Ein kleines oder mittelständisches Unternehmen möchte die Kunden- und Personaldaten verwalten können, ohne allzu viel Zeit und Kosten investieren zu müssen. Der Cloud-Dienst muss deshalb auch für einen Cloud-Nutzer, dessen Kernkompetenzen in anderen Bereichen als im technischen Bereich liegen, einfach konfigurierbar und nutzbar sein. PaaS-Dienste, die es erlauben, selbst Anwendungen zu entwickeln, sind für Unternehmen, die nur ihre Kunden- und Personaldaten ohne großes technisches Know-how verwalten möchten, nicht geeignet. Auch IaaSDienste erfordern einen erheblichen Konfigurationsaufwand durch den Cloud-Nutzer und sind Unternehmen nur dann in Form des Mietens von Speicherplatz zu empfehlen, wenn der Cloud-Dienst allein als Backup-Medium für die personenbezogenen Daten des Unternehmens genutzt werden soll. Ein Unternehmen kann im Rahmen des IaaS die Daten verschlüsseln und verschlüsselt als Backup beim Cloud-Anbieter hochladen. Der CloudAnbieter kann wegen der Unkenntnis des Schlüssels die Daten nicht entschlüsseln. Die Nutzung von IaaS ist aber nur praktikabel, wenn die Daten in der Cloud nicht bearbeitet werden müssen, da eine Verarbeitung von 113 Chandrasekaran, Essentials of Cloud Computing, S. 16 f.; Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 13; Vossen / Haselmann / Hoeren, CloudComputing für Unternehmen, S. 28 f.; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 18. 114 Hon / Millard, in: Millard (Hrsg.), Cloud Computing Law, S. 14. 115 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 5 Rn. 10; Westerfeld, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 9 Rn. 9. 116 GMail, https: // mail.google.com. 117 Birk / Wegener, DuD 2010, 641 (643); Hennrich, CR 2011, 546 (547).
52
B. Grundlagen des Cloud Computing
verschlüsselten Daten technisch noch nicht möglich ist. Hinzu kommt, dass das Unternehmen bei der Nutzung von IaaS-Diensten als reine BackupLösung weiterhin die Kunden- und Personaldaten auf unternehmensinternen PCs oder Servern verwalten müsste, was zusätzliche Kosten verursacht. Um die Ziele der Kostenreduktion und Konzentration auf die Kernkompetenzen bestmöglich zu erreichen, ist deshalb der Einsatz von SaaS-Diensten zu bevorzugen. Der Cloud-Anbieter stellt eine Maske im Internetbrowser – oder möglicherweise auch eine eigenständige Client-Software – zur Verfügung, in der die Kunden- und Personaldaten gespeichert und verwaltet werden können. Das Unternehmen kann die SaaS-Lösung sofort und ohne großen Konfigurationsaufwand nutzen. Der größte Nachteil der SaaS-Lösung ist allerdings, dass die Daten auf den Servern des Cloud-Anbieters verarbeitet werden müssen. Da die Verarbeitung verschlüsselter Informationen noch nicht möglich ist, muss zumindest der Cloud-Anbieter bei Vorliegen verschlüsselter Kunden- und Personaldaten den Schlüssel kennen. Ansonsten ist nach heutigem Stand der Technik die verschlüsselte Nutzung eines SaaSDienstes (noch) nicht möglich.
V. Cloud-Modelle (Deployment-Modelle) Je nachdem, an welchen Nutzerkreis sich das Angebot des Cloud-Anbieters richtet, lassen sich vier Cloud-Modelle unterscheiden. Die vier CloudModelle heißen Private Cloud, Public Cloud, Community Cloud und Hybrid Cloud.118 1. Private Cloud Eine Private Cloud stellt jedem Cloud-Nutzer die Dienste exklusiv bereit.119 Deshalb entspricht sie in etwa dem IT-Outsourcing, allerdings mit dem Unterschied, dass bei einer Private Cloud die Virtualisierungstechnologie nur innerhalb der jeweiligen Kunden-Cloud eingesetzt wird.120 Durch 118 Krcmar, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 12 ff. Rn. 36 ff.; Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 6 ff. Rn. 14 ff.; Hennrich, Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz, S. 74 ff.; NIST, The NIST Definition of Cloud Computing, S. 3. 119 Borges / Brennscheidt, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 47; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 18; Artikel-29-Datenschutzgruppe, WP 196, S. 30; Opfermann, ZEuS 2012, 121 (124 f.). 120 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1201 Rn. 15; Brennscheidt, Cloud Computing und Datenschutz, S. 38; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803.
V. Cloud-Modelle (Deployment-Modelle)53
die Exklusivität lässt sich aber sicherstellen, dass ein anderer Kunde des Cloud-Anbieters nicht durch Durchbrechen der Virtualisierungsschicht auf fremde Daten zugreifen kann. Außerdem lässt sich das System besser an die individuellen Bedürfnisse der Kunden anpassen. Diese Vorteile werden aber durch geringere Flexibilität und höhere Kosten erkauft.121 Eine Pri vate Cloud kann in dem eigenen Rechenzentrum des Cloud-Nutzers, der somit gleichzeitig Cloud-Anbieter und Cloud-Nutzer ist, oder in dem Rechenzentrum eines externen Cloud-Anbieters realisiert werden.122 Die Ressourcen liegen innerhalb der unternehmensspezifischen Firewall des Unternehmens selbst oder des Cloud-Anbieters. Die auf den Servern gespeicherten Daten verlassen die unternehmensspezifische Cloud nicht.123 Eine Private Cloud kann als Einstieg für Unternehmen ins Cloud Comput ing dienen, die bisher aufgrund von Sicherheitsbedenken auf die Nutzung von Cloud-Services verzichtet haben.124 2. Public Cloud Die Nutzung einer Public Cloud ist das Modell, das sich in den letzten Jahren weltweit durchgesetzt hat.125 Der große Erfolg von Public Clouds im Unternehmensumfeld ist u. a. darauf zurückzuführen, dass die Nutzer zunächst über Web-Mail-Dienste und Ähnliches im privaten Umfeld an Public Clouds herangeführt wurden und diese Dienste dann auch im Arbeitsumfeld nicht mehr missen wollten.126 Hauptmerkmal einer Public Cloud ist, dass das Angebot der Allgemeinheit zur Verfügung steht und sich der Kunde mit
121 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1201 f. Rn. 15; Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 22 Rn. 19; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803 f.; Niemann / Paul, K&R 2009, 444 (445); Opfermann, ZEuS 2012, 121 (125); Pohle / Ammann, CR 2009, 273; Schultze-Melling, ITRB 2011, 239. 122 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1201 f. Rn. 15; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 18 f.; Giebichenstein, BB 2011, 2218; Heidrich / Wegener, MMR 2010, 803 f.; Hennrich, CR 2011, 546 (547); Münch / Doubrava / Essoh, DuD 2011, 322; Niemann / Paul, K&R 2009, 444 (445). 123 Borges / Brennscheidt, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 47; Niemann / Paul, K&R 2009, 444 (445). 124 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 60 f. Rn. 13 ff. 125 Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803. 126 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 10 f. Rn. 23; Schultze-Melling, ITRB 2011, 239.
54
B. Grundlagen des Cloud Computing
anderen Cloud-Nutzern die Hardware teilen muss.127 Das birgt die Gefahr in sich, dass durch eine Umgehung der Virtualisierung oder aufgrund eines Fehlers im Hypervisor Daten von Nutzern anderen Cloud-Nutzern zugänglich sind.128 Der Cloud-Nutzer weiß nicht, mit wem er sich die Hardware teilt und kann dies auch nicht bestimmen. Es besteht die Gefahr, dass Anwendungen, die eigentlich verschiedene Sicherheitsanforderungen stellen, auf demselben physischen Server laufen.129 Allerdings macht das Teilen der Hardware durch Virtualisierung die Vorteile der Cloud erst möglich, nämlich Flexibilität und Kostenersparnis. Beispiele bekannter Public CloudAnbieter sind z. B. globale Unternehmen, wie Google, Microsoft, Amazon, IBM, aber auch deutsche Unternehmen, wie SAP oder die Telekom.130 Die Nutzung von Public Clouds bringt verglichen mit den anderen Cloud-Modellen die größte Kostenersparnis für Unternehmen mit sich. Die Verwendung von Public Clouds ist verglichen mit den anderen Modellen aber auch am schwersten datenschutzkonform umzusetzen.131 3. Community Cloud Bei einer Community Cloud teilen sich Cloud-Nutzer der gleichen Sparte die Ressourcen. So können sich z. B. mehrere Unternehmen aus dem Kreditkartenbereich, die die gleiche Software nutzen und dieselben Sicherheitsstandards benötigen, zu einer Community Cloud zusammenschließen, um damit Kosten zu sparen, aber dennoch einen gewissen Grad an Flexibilität zu behalten.132
127 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1202 Rn. 16; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803. 128 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 62 f. Rn. 17; Birk / Wegener, DuD 2010, 641 (642). 129 Weiss, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 20 f. Rn. 15; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803. 130 Birk / Wegener, DuD 2010, 641 (642); Weichert, DuD 2010, 679 (680). 131 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 20. 132 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 63 Rn. 21; Westerfeld, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Comput ing, S. 10 Rn. 12; Chandrasekaran, Essentials of Cloud Computing, S. 15; Krcmar, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 59; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803 (804).
V. Cloud-Modelle (Deployment-Modelle)55
4. Hybrid Cloud Hybrid Clouds bestehen aus mehreren einzelnen Private, Public oder Community Clouds, die miteinander verbunden sind. Dabei werden sowohl eigene als auch fremde Ressourcen genutzt. Die einzelnen Cloud-Modelle bleiben dabei selbstständig, werden aber miteinander vernetzt. Mit diesem Modell lassen sich Konzepte zur Hochverfügbarkeit oder Lastenverteilung umsetzen.133 5. Passendes Cloud-Modell für kleine und mittelständische Unternehmen Die Nutzung einer Private Cloud lässt sich – aufgrund der Ähnlichkeit zum IT-Outsourcing – verglichen mit der Nutzung der anderen Cloud-Modelle für das Unternehmen am einfachsten datenschutzkonform ausgestalten. Daher ist die Nutzung einer Private Cloud zur Auslagerung von Kunden- und Personaldaten in die Cloud die Variante, die die wenigsten datenschutzrechtlichen Probleme mit sich bringt. Das Unternehmen kann bestimmen, auf welchen Servern in welchem Land die Verarbeitung der Daten stattfindet. Der Cloud-Anbieter stellt die gebuchten Server exklusiv dem Unternehmen zur Verfügung. Andere Cloud-Nutzer desselben CloudAnbieters haben keinen Zugriff auf die für das Unternehmen bereitgestellten Server. Somit besteht nicht die Gefahr, dass andere Cloud-Nutzer vorsätzlich oder durch einen Fehler im Hypervisor Zugang zu den Kundenoder Personaldaten des Unternehmens erhalten. Diesen hohen Grad an Datensicherheit erkauft sich das Unternehmen aber durch geringere Flexibilität und somit höhere Kosten. Da der Cloud-Anbieter eine begrenzte Anzahl von Servern dem Unternehmen exklusiv zur Verfügung stellt, können die Daten nur zwischen wenigen Servern verschoben werden. Das Verschieben der Daten und somit die Möglichkeit der Abschaltung von nicht genutzten Servern durch Virtualisierung macht aber gerade das Geschäftsmodell und das Sparpotential des Cloud Computing aus. Das Unternehmen könnte die Daten also genauso gut im Rahmen einer IT-Outsourcing-Lösung auslagern, bei der die Virtualisierungstechnik nicht eingesetzt wird. Die Kosten für die Auslagerung der Daten im Rahmen einer solchen Outsourcing-Lösung und einer Private Cloud sind vergleichbar. Für ein Großunternehmen mag die Private Cloud die beste Lösung sein. Großunterneh133 Westerfeld, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 10 Rn. 14; Chandrasekaran, Essentials of Cloud Computing, S. 16; Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 19 f.; Birk / Wegener, DuD 2010, 641 (642); Heidrich / Wegener, MMR 2010, 803 (804); Weichert, DuD 2010, 679 (680).
56
B. Grundlagen des Cloud Computing
men haben meist eigene unternehmensinterne IT-Abteilungen bzw. das Kapital für eine eigene Private Cloud. Kleine und mittelständische Unternehmen können sich eine derart teure IT-Abteilung oder eine eigene Private Cloud meist nicht leisten. Das Unternehmen, das seine Kunden- und Personaldaten auslagern möchte, wird auch aus Kostengründen keine Hybrid Cloud betreiben. Wenn das Unternehmen sowieso eine Private Cloud betreibt, benötigt es nicht zusätzlich eine Public Cloud, um z. B. die Homepage dort zu hosten oder Lastspitzen abzufangen. Der Zusammenschluss mehrerer Unternehmen zu einer Community Cloud ist ein guter Kompromiss zwischen Kosten und Datensicherheit. Allerdings muss das Unternehmen gleich gesinnte Unternehmen mit den gleichen Sicherheitsanforderungen finden, die bereit sind, bei einer Community Cloud mitzuwirken. Community Clouds sind deshalb nicht weit verbreitet. Die Nutzung einer Public Cloud ist für ein kleines oder mittelständisches Unternehmen die Lösung mit der größten Kostenersparnis. Ein weiterer Vorteil gegenüber einer lokalen Verwaltung der Kunden- bzw. Personaldaten ist der hohe Sicherheitsstandard, den die Cloud-Anbieter mit ihrem Knowhow bieten können. Diesen hohen Sicherheitsstandard kann ein kleines oder mittelständisches Unternehmen mit einem IT-Verantwortlichen bzw. einer kleinen IT-Abteilung nicht erreichen. Die Nutzung einer Public Cloud stellt das auslagernde Unternehmen allerdings vor einige Herausforderungen, um die Auslagerung der Daten datenschutzkonform zu gestalten. Dennoch ist für ein kleines oder mittelständisches Unternehmen die Auslagerung der Kunden- und Personaldaten in eine Public Cloud die Lösung, die gegenüber den anderen Cloud-Modellen vorzugswürdig ist.
VI. Wirtschaftliche Bedeutung des Cloud Computing Die wirtschaftliche Bedeutung des Cloud Computing ist bereits jetzt sehr groß und wird in Zukunft noch steigen. Cloud Computing ermöglicht neue Geschäftsmodelle. Die Geschäftsmodelle des Cloud Computing sind deshalb ein Wachstumsmarkt. Wenn die Unternehmen ihre interne IT-Abteilung aufgeben und die Daten in die Cloud auslagern, können sie Kosten für Mitarbeiter, Wartungsarbeiten, Patchmanagement und Erneuerung von Hardware und Software einsparen. Allerdings fragt sich, ob wirklich alle Funktionen des Unternehmens in die Cloud ausgelagert werden sollen. Eine Auslagerung von sensiblen Daten – wie Firmengeheimnissen – in die Cloud sollte überdacht werden. Je mehr Unternehmen Cloud-Dienste nutzen, desto
VII. Vorteile von Cloud Computing57
höher wird die Flexibilität in der Cloud und desto geringer werden die Kosten für die einzelnen Unternehmen. Auch wenn viele private Nutzer sich darüber nicht im Klaren sind, nutzen sie schon längst Cloud-Anwendungen: Sie schreiben E-Mails mit Webdiensten wie GMail134, GMX135 oder Web.de136, sie halten sich in sozialen Netzwerken wie Facebook137 oder Twitter138 auf, sie betrachten Videos auf Youtube139, sie laden ihre Fotos bei Google Fotos140 oder Flickr141 hoch, sie speichern ihre Dateien auf Online-Speicherdiensten wie Dropbox142 oder Google Drive143 und sie nutzen Textverarbeitungsprogramme wie Google Documents144 oder Microsoft Word 365145. Auch die EU-Kommission hat die Bedeutung von Cloud Computing erkannt und eine Mitteilung146 über die „Freisetzung des Cloud ComputingPotenzials in Europa“ herausgegeben.
VII. Vorteile von Cloud Computing Die wirtschaftliche Bedeutung des Cloud Computing folgt aus den Vorteilen, die die Nutzung von Cloud-Diensten hat, nämlich Kostenreduzierung, Innovation, Effektivität und Flexibilität.147 Diese Vorteile lassen sich allerdings nur in der Public Cloud in hohem Maße erzielen.148 Die Vorteile des Cloud Computing sind in wirtschaftliche Vorteile, technische Vorteile und Vorteile für den Cloud-Anbieter unterteilbar.
134 Gmail,
https: // mail.google.com. https: // www.gmx.net. 136 Web.de, https: // web.de. 137 Facebook, https: // de-de.facebook.com. 138 Twitter, https: // twitter.com / ?lang=de. 139 Youtube, https: // www.youtube.com / ?gl=DE&hl=de. 140 Google Fotos, https: // photos.google.com / ?hl=de. 141 Flickr, https: // www.flickr.com. 142 Dropbox, https: // www.dropbox.com / de. 143 Google Drive, https: // www.google.com / intl / de / drive. 144 Google Documents, https: // www.google.de / intl / de / docs / about. 145 Microsoft Office 365, https: // products.office.com / de-de / business / office. 146 EU-Kommission, KOM(2012) 529 endgültig. 147 BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 16; Lehmann / Giedke, CR 2013, 608 (609). 148 Schultze-Melling, ITRB 2011, 239. 135 GMX,
58
B. Grundlagen des Cloud Computing
1. Wirtschaftliche Vorteile Der wichtigste wirtschaftliche Vorteil besteht darin, dass der Cloud-Nutzer die Ressourcen flexibel und bedarfsabhängig buchen kann.149 Der CloudNutzer muss nicht zu jeder Zeit dieselbe Menge an Rechenleistung oder Software ordern, die er zu Spitzenzeiten benötigt, sondern kann flexibel auf die jeweiligen Anforderungen reagieren.150 Ein Unternehmen muss deshalb auch keine langfristige Beschaffungsplanung von IT-Gerätschaften und keine langfristige Zahlungs- und Liquiditätsplanung vornehmen.151 Bei Unternehmen schwanken die Mitarbeiterzahlen mehr oder weniger stark. Aus Gründen der Vorsicht und Rechtssicherheit kaufen die Unternehmen daher mehr Softwarelizenzen als sie benötigen. Auch hier führt Cloud Computing zu einer Kostenersparnis, da das Unternehmen die einzelnen Serviceleistungen bedarfsabhängig anfordern kann.152 Es findet eine Umverteilung von Investitionskosten und Betriebsaufwand statt. Während die Investitionskosten durch die Nutzung von Cloud Computing sinken, steigen die Kosten für den Betriebsaufwand.153 Damit sinken auch die Anschaffungskosten und Unterhaltskosten der lokalen IT-Infrastruktur.154 Lagern Unternehmen ihre IT im Rahmen des Cloud Computing an einen Cloud-Anbieter aus, entfallen den Unternehmen sowohl die Kosten für die Wartung der Hardware als auch für das Patchmanagement der Software. Die Unternehmen brauchen darüber hinaus weniger fachliches Personal, wie Administratoren, und können damit Personalkosten einsparen. Es entfallen außerdem die Kosten für den Kauf neuerer Versionen und die personal- und kostenintensive Integration der neuen Software in das eigene Unternehmen.155 149 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1198 f. Rn. 11; Bisges, MMR 2012, 574 (575); Nägele / Jacobs, ZUM 2010, 281 (282); Wicker, MMR 2012, 783. 150 Leupold, in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 4 Rn. 19; Rhoton, Cloud Computing Explained, S. 9; Nägele / Jacobs, ZUM 2010, 281 (282). 151 Schulz, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 405; Schulz / Rosenkranz, ITRB 2009, 232 (233). 152 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 14 f.; Nägele / Jacobs, ZUM 2010, 281 (282); Pohle / Ammann, CR 2009, 273; Pohle / Ammann, K&R 2009, 625. 153 Bisges, MMR 2012, 574 (575); BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 13; DSK, Orientierungshilfe Cloud Comput ing – Version 2.0, S. 4. 154 Karger / Sarre, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 428; Pohle / Ammann, CR 2009, 273 (274). 155 Vossen / Haselmann / Hoeren, Cloud-Computing für Unternehmen, S. 33; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 86; Küh-
VII. Vorteile von Cloud Computing59
Nutzt ein Unternehmen Cloud-Dienste, muss es sich nicht mehr um die technische Infrastruktur kümmern, sondern kann sich vielmehr auf die Aufgaben seines Kerngeschäfts konzentrieren. Auf diese Weise kann die Effizienz des Unternehmens in seinem Kernbereich gesteigert werden.156 Beim Cloud Computing ist die Vergütung der Services meist nutzungsabhängig („on demand“ bzw. „Pay per Use-Prinzip“157). Der Kunde zahlt nur für Ressourcen und / oder Dienste, die er tatsächlich nutzt.158 Dahinter steckt der Gedanke des Utility-Computing.159 Der Cloud-Nutzer bezahlt bei IaaS und PaaS meist die tatsächlich genutzten Ressourcen und das übertragene Datenvolumen. Bei SaaS erfolgt die Vergütung überwiegend nach der Anzahl der Benutzer.160 Die Vergütungsmodelle können sich auch auf andere Faktoren beziehen und je nach Cloud-Anbieter variieren. 2. Technische Vorteile Nicht nur ein wirtschaftlicher, sondern auch ein großer technischer Vorteil der Cloud ist die Flexibilität bzw. Skalierbarkeit, die der Einsatz von CloudDiensten mit sich bringt.161 Da der Cloud-Nutzer nur auf virtuelle Computer zugreift, können deren Ressourcen in kürzester Zeit an den Bedarf des Nutzers angepasst werden.162 Man spricht dabei auch von „elastic scaling“163. Der Cloud-Anbieter kann auf Anfrage des Cloud-Nutzers die ihm zur Verfügung stehenden Ressourcen jederzeit erweitern oder verringern.164 Durch ling / Biendl, CR 2014, 150; Nägele / Jacobs, ZUM 2010, 281 (282), Pohle / Ammann, CR 2009, 273 (274). 156 BITKOM, Eckpunkte für sicheres Cloud Computing, S. 6. 157 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1194 f. Rn. 2; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 21 f.; Böhm / Wybitul, ArbR Aktuell 2015, 539; Grenzer / Heitmüller, PinG 2014, 221; Heidrich / Wegener, MMR 2010, 803; Niemann / Paul, K&R 2009, 444; Opfermann, ZEuS 2012, 121 (126). 158 Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 12; Hansen, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 79; Schulz, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 405; Birk / Wegener, DuD 2010, 641; Bisges, MMR 2012, 574; Heidrich / Wegener, MMR 2010, 803; Nägele / Jacobs, ZUM 2010, 281; Schulz / Rosenkranz, ITRB 2009, 232 (233). 159 Lehmann / Giedke, CR 2013, 608 (610). 160 Weiss, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 2 Rn. 3; Lenzer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 121 Rn. 23 ff.; Bierekoven, ITRB 2010, 42 (43). 161 Heidrich / Wegener, MMR 2010, 803. 162 Karger / Sarre, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 428. 163 Lehmann / Giedke, CR 2013, 608 (610). 164 Lehmann / Giedke, CR 2013, 608 (610).
60
B. Grundlagen des Cloud Computing
die Möglichkeit, kurzfristig Ressourcen hinzubuchen zu können, wird es den Unternehmen ermöglicht, auf Lastspitzen zu reagieren und diese mit den neu hinzugebuchten Ressourcen abfangen zu können.165 Ein wichtiger technischer Vorteil ist angesichts der zunehmenden Globalisierung die ubiquitäre Verfügbarkeit der Ressourcen und Daten in der Cloud.166 Der Zugriff auf die Cloud ist weltweit über jeden Computer mit Browser und Internetverbindung möglich.167 Das Ausführen der Cloud-Anwendungen ist zumeist unabhängig von dem installierten Betriebssystem, solange ein Internetbrowser für den Zugriff auf die Cloud-Anwendungen vorhanden ist.168 Ein Außendienstmitarbeiter kann ohne großen Aufwand über sein Notebook oder sein Smartphone auf die Daten seines Unternehmens zugreifen. Aufgrund des Ablageortes der Daten in der Cloud können mehrere Mitarbeiter zeitgleich Dokumente bearbeiten, die aufgrund der Synchronisation über die Cloud auf dem aktuellsten Stand gehalten werden.169 Da alle Berechnungen auf Servern in der Cloud stattfinden, kann der Cloud-Nutzer auch sehr rechenintensive Dienste auf leistungsschwacher Hardware nutzen.170 Der Cloud-Nutzer kann inzwischen Dienste über sein Smartphone nutzen, für deren Nutzung noch vor einigen Jahren ein Großrechner nötig gewesen wäre. Des Weiteren laufen auch sehr rechenintensive Programme auf alter Hardware.171 Wollten Unternehmen rechenintensive Programme „offline“ ohne Cloud-Nutzung einsetzen, wären sie gezwungen, neue Hardware anzuschaffen, wenn die Software auf den alten Rechnern aufgrund fehlender Leistung nicht mehr funktioniert. Das Betriebsrisiko wird für die benötigten Anwendungen und Ressourcen an den Cloud-Anbieter abgegeben. Dabei wird der Wartungsaufwand der 165 Pohle / Ammann,
CR 2009, 273 (274). in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 4 Rn. 19; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 3; Karger / Sarre, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 428; Pohle / Ammann, CR 2009, 273 (274); Pötters, NZA 2013, 1055; Sujecki, K&R 2012, 312. 167 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 17; Lehmann / Giedke, CR 2013, 608 (610). 168 Obenhaus, NJW 2010, 651. 169 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 17; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 18. 170 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 87 Rn. 91; Lehmann / Giedke, CR 2013, 608 (610). 171 Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 3. 166 Leupold,
VII. Vorteile von Cloud Computing61
firmeneigenen Hard- und Software des Cloud-Nutzers durch Auslagerung der Ressourcen bzw. Applikationen an den Cloud-Anbieter verringert.172 Bei den Cloud-Anbietern herrscht aufgrund der Spezialisierung auf das Cloud-Geschäft ein sehr hohes Sicherheitsniveau. Kleine und mittelständische Unternehmen können davon profitieren. Diese können sich häufig keine eigene bzw. keine derart auf Sicherheit spezialisierte IT-Abteilung leisten.173 Kleine und mittelständische Unternehmen können also eine hochprofessionelle Infrastruktur nutzen, ohne selbst das nötige Know-how dafür besitzen zu müssen.174 Aufgrund der Architektur der Cloud kann selbst dann noch auf die ausgelagerten Daten zugegriffen werden, wenn ein Server ausfällt. Diese Redundanz führt zu einer großen Widerstandsfähigkeit des Cloud Computing gegenüber Naturkatastrophen und DDoS-Attacken, deren Abwehr bei herkömmlichen PC-Systemen große Probleme aufwirft.175 3. Vorteile für den Cloud-Anbieter Das Cloud-Modell hat auch für den Cloud-Anbieter Vorteile. Er kann aus den Ressourcen, die er bei geringer Last nicht benötigt, Gewinn erwirtschaften, indem er sie an die Cloud-Nutzer vermietet. Würde er dies nicht tun, lägen sie brach und er müsste trotzdem für die laufenden Kosten (z. B. Strom und Wartung) aufkommen, die die Server im Betrieb verursachen. Der Cloud-Anbieter kann somit seine eigenen Kapazitäten optimieren.176 Ein sehr großer Vorteil für den Cloud-Anbieter entsteht durch den Einsatz des Multi-Tenancy-Modells beim Anbieten der Cloud-Dienste. Das Multi-Tenancy-Modell und das Single-Tenancy-Modell sind Modelle zur Mandantentrennung von Daten.177 Vor dem Einsatz der Virtualisierungstechnologie musste ein Anbieter dem Nutzer im Rahmen der Single-Tenan172 Nägele / Jacobs,
ZUM 2010, 281 (282). WP 196, S. 5; Hornung / Sädtler, DuD 2013, 148 (149); Lapp, BB 2011, Heft 36, VI (VII); Lehmann / Giedke, CR 2013, 608 (609 f.); Rammos / Vonhoff, CR 2013, 265 f. 174 Bedner, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 150; Karger / Sarre, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 428. 175 Schmidt, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 132 f. Rn. 228 ff. 176 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 15; Hornung / Sädtler, DuD 2013, 148 (149). 177 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 72 Rn. 43 ff.; Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 16 f. 173 Artikel-29-Datenschutzgruppe,
62
B. Grundlagen des Cloud Computing
cy-Architektur immer einen eigenen Server oder einen festen physisch abgetrennten Bereich eines Servers zur Verfügung stellen. Diese Maßnahme diente dazu, die Daten der verschiedenen Nutzer physisch voneinander abzutrennen.178 Die physische Trennung der Daten der Nutzer brachte ein Höchstmaß an Sicherheit, aber auch Nachteile mit sich. Der Bereich, der dem Nutzer bereitgestellt wurde, konnte nicht flexibel erweitert werden. Musste der Anbieter die Software des Nutzers aktualisieren oder patchen, war das Update oder der Patch für jeden einzelnen Nutzer separat nötig. Dies bedeutete für den Anbieter einen erheblichen Wartungsaufwand und trieb dementsprechend die Kosten der angebotenen Leistungen in die Höhe – so geschehen beim IT-Outsourcing und beim ASP.179 Durch den Einsatz der Virtualisierungstechnologie müssen die Daten der Nutzer nicht mehr physisch voneinander getrennt werden. Der Hypervisor sorgt im Rahmen der Virtualisierung dafür, dass Daten der Nutzer, die auf demselben Server liegen, voneinander getrennt bleiben.180 Bei den Cloud-Diensten ist somit nicht nur eine flexible Erweiterung bzw. Verringerung der Ressourcen eines Nutzers möglich, sondern auch ein erleichtertes Update- und Patchmanagement des Cloud-Anbieters. Durch das Multi-Tenancy-Modell wird es ihm ermöglicht, die Instanzen aller Nutzer auf einmal zu aktualisieren bzw. zu patchen. Das umfangreiche und langwierige Updaten bzw. Patchen der Anwendungen einzelner Nutzer wie bei der Single-TenancyArchitektur entfällt.181 Der Unterschied zwischen Single-Tenancy-Modell und Multi-Tenancy-Modell lässt sich anhand eines Beispiels der Wasserbzw. Stromversorgung mehrerer Einfamilienhäuser und eines Hochhauses veranschaulichen:182 Ändert sich etwas an der Wasser- bzw. Stromversorgung, muss diese Änderung an jedem der Einfamilienhäuser durchgeführt werden, während die Änderung an dem Hochhaus nur einmal durchgeführt werden muss und sich dann auf alle im Hochhaus wohnenden Parteien auswirkt. In diesem Beispiel stehen die Einfamilienhäuser für die SingleTenancy-Architektur, während das Hochhaus für das Multi-Tenancy-Modell steht. Der Einsatz des Multi-Tenancy-Modells führt zu einer großen Kosten ersparnis des Cloud-Anbieters. Der Cloud-Anbieter kann diese Kostener178 Schorer,
in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 72 Rn. 43 ff. in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 72 Rn. 43 ff.; Pohle / Ammann, K&R 2009, 625 (626). 180 Schorer, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 72 Rn. 43 ff. 181 Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 37 ff.; Pohle / Ammann, K&R 2009, 625 (626). 182 Metzger / Reitz / Villar, Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, S. 16 f. 179 Schorer,
VIII. Cloud Computing und Datensicherheit63
sparnis wiederum teilweise an die Cloud-Nutzer weitergeben und die Cloud-Dienste günstiger anbieten.183
VIII. Cloud Computing und Datensicherheit Ein Vorteil der Nutzung von Cloud-Diensten für kleine und mittelständische Unternehmen ist, dass den Unternehmen das Know-how des CloudAnbieters bezüglich der Sicherheit der Daten zuteil wird. Doch die Nutzung von Cloud-Diensten bietet nicht nur Vorteile für die Datensicherheit, sondern bringt auch Risiken mit sich. „Datensicherheit“, die im IT-Bereich oft als Informationssicherheit oder IT-Sicherheit bezeichnet wird, darf begrifflich nicht mit „Datenschutz“ verwechselt werden. Der Zweck des Datenschutzes besteht darin, jede natürliche Person vor Beeinträchtigungen des Persönlichkeitsrechts zu schützen, die dadurch entstehen können, dass Dritte die personenbezogenen Daten erheben, verarbeiten oder nutzen. Die Datensicherheit dagegen ist die Gesamtheit der technischen und organisatorischen Regelungen und Maßnahmen, durch die die Grundwerte der Datensicherheit Verfügbarkeit, Vertraulichkeit und Integrität bewahrt werden sollen.184 Zentrale Regelungen zur Datensicherheit sind § 9 BDSG und die Anlage zu § 9 Satz 1 BDSG sowie Art. 32 DS-GVO. Im Rahmen der Datensicherheit bedeutet Verfügbarkeit, dass die Daten den Nutzern jederzeit bereitstehen und nur von autorisierten Benutzern bearbeitet werden können. Vertraulichkeit beschreibt den Zugriff nur für befugte Personen. Integrität bezeichnet die einwandfreie Funktion des Systems; die bearbeiteten Daten müssen stets unversehrt, vollständig und aktuell sein. Die Nutzung von Cloud Computing birgt einige Risiken für diese Grundwerte in sich.185 Die Risiken für die Datensicherheit lassen sich unterteilen in „klassische“ und cloudspezifische Risiken. „Klassische“ Risiken sind solche, die sich immer bei der Nutzung von informationstechnologischen Systemen ergeben 183 Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 37 ff.; Pohle / Ammann, K&R 2009, 625 (626). 184 Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 2; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 3 f.; Karg, in: Wolff / Brink (Hrsg.), BDSG, § 9 Rn. 7 ff.; Hennrich, CR 2011, 546 (548 f.). 185 Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Comput ing, S. 448 Rn. 97; Lenzer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 124 f. Rn. 41; DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 23 ff.; Heidrich / Wegener, MMR 2010, 803 (804); Hennrich, CR 2011, 546 (549).
64
B. Grundlagen des Cloud Computing
können. Cloudspezifische Risiken ergeben sich dagegen explizit durch die Nutzung von Cloud-Technologien.186 1. „Klassische“ Risiken Als „klassische“ Risiken von informationstechnologischen Systemen sind vor allem fahrlässiges oder vorsätzliches Verhalten von eigenen oder externen Mitarbeitern, unzureichendes Patchmanagement, Ausnutzen von Sicherheitslücken durch andere Cloud-Nutzer und durch Dritte sowie das Bestehen von Sicherheitsmängeln in der technischen Infrastruktur (Stromversorgung, Klimatisierung, Zutrittskontrolle usw.) zu sehen.187 Eine Gefahr besteht auch darin, dass böswillige Administratoren des Cloud-Anbieters unbefugt auf die Daten der Cloud-Nutzer zugreifen. Dies kann verhindert werden, indem die Rechte der einzelnen Mitarbeiter so stark vermindert werden, dass jeder Mitarbeiter nur auf solche Daten Zugriff erlangt, die er für die Durchführung seiner Tätigkeit benötigt.188 2. Cloudspezifische Risiken Die Nutzung von Cloud-Services bringt auch cloudspezifische Datensicherheitsrisiken mit sich. Aufgrund der Virtualisierung liegen alle Daten der Cloud-Nutzer auf demselben Serververbund. Versagt die Datentrennung, können unberechtigte Nutzer Zugriff auf fremde Daten haben. Mit der Datentrennung ist auch ein weiteres Risiko verbunden. Kündigt ein CloudNutzer den Vertrag mit dem Cloud-Anbieter, muss der Cloud-Anbieter die Daten des Cloud-Nutzers aufgrund des Zweckbindungsgrundsatzes nach § 35 Abs. 2 Nr. 3 BDSG löschen. Der ehemalige Cloud-Nutzer kann aber nicht kontrollieren, ob der Cloud-Anbieter das Löschen der Daten vollständig und gewissenhaft durchgeführt hat und ob er alle Backups der Dateien gelöscht hat. Wurden die Daten nicht ordnungsgemäß gelöscht, besteht aufgrund der Multi-Tenancy-Architektur die Gefahr, dass der nächste CloudNutzer die Dateien des vorherigen Nutzers wiederherstellen kann.189 Des Weiteren erfolgt die Protokollierung aufgrund der Cloud-Architektur nur durch den Cloud-Anbieter. Der Cloud-Nutzer hat nur in seltenen Fällen Zugriff auf das Protokoll. Der Cloud-Nutzer kann somit nicht genau nachvollziehen, welche Datenverarbeitungsvorgänge mit seinen Daten vorgenommen werden und zu welcher Zeit welche seiner Dateien auf welchem 186 DSK,
Orientierungshilfe Cloud Computing – Version 2.0, S. 23 ff. Orientierungshilfe Cloud Computing – Version 2.0, S. 25 f. 188 Marnau / Schirmer / Schlehahn / Schunter, DuD 2011, 333 (334). 189 DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 27 ff. 187 DSK,
IX. Nachteile von Cloud Computing65
Server in welchem Land gespeichert sind.190 Aufgrund der Konzentration einer großen Anzahl von Daten verschiedener Nutzer stellen Cloud-Anbieter beliebte Angriffsziele dar. Die Multi-Tenancy-Architektur bietet dabei eine größere Angriffsfläche als die in „gewöhnlichen“ Datenzentren verwendete Single-Tenancy-Architektur.191 Ein wichtiger Aspekt der Datensicherheit ist auch die Zuverlässigkeit des Serververbundes des Cloud-Anbieters. Bei einem Totalausfall der Server können die Cloud-Nutzer bis zur Behebung des Problems nicht mehr auf ihre Daten zugreifen.192
IX. Nachteile von Cloud Computing Cloud Computing bringt nicht nur Risiken für die Datensicherheit mit sich, sondern darüber hinaus Nachteile. Die zwei größten Nachteile von Cloud Computing liegen in der Intransparenz der Datenverarbeitung beim Cloud-Anbieter und dem Kontrollverlust der Cloud-Nutzer über ihre Daten.193 Die beiden Nachteile sind miteinander verknüpft. Die Intransparenz der Datenverarbeitung folgt aus der Virtualisierungstechnologie, die beim Cloud Computing eingesetzt wird. Aufgrund der Virtualisierung können die Daten des Cloud-Nutzers auf Servern verstreut über den ganzen Globus liegen. Der Cloud-Nutzer weiß besonders bei Nutzung einer Public Cloud nicht, auf welchem Server in welchem Land sich seine Daten befinden.194 Es ist sogar für den Cloud-Anbieter mühsam, den Standort der Daten des Cloud-Nutzers herauszufinden. Die Daten werden automatisiert auf die verschiedenen physischen Server verteilt.195 Ist ein physischer Server ausgelastet, werden die Daten in Sekundenschnelle auf einen anderen physischen Server übertragen.196 Der Cloud-Anbieter müsste nähere Details über seine Serverfarmen an den Cloud-Nutzer herausgeben, um mehr Transparenz herzustellen. Der Cloud-Anbieter möchte aber möglichst die Details über den Betrieb seiner Cloud unter Verschluss halten, um 190 DSK,
Orientierungshilfe Cloud Computing – Version 2.0, S. 27 ff. in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 4 Rn. 7. 192 Niemann / Paul, K&R 2009, 444 (450). 193 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 22; Artikel-29-Datenschutzgruppe, WP 196, S. 6 ff.; Böhm / Wybitul, ArbR Aktuell 2015, 539; Hornung / Sädtler, DuD 2013, 148 (149 f.); Nägele / Jacobs, ZUM 2010, 281 (282 f.); Pötters, NZA 2013, 1055. 194 Birk / Wegener, DuD 2010, 641 (642); Opfermann, ZEuS 2012, 121 (123); Pohle / Ammann, CR 2009, 273 (276); Spies, MMR 2009, Heft 5, XI. 195 Niemann / Hennrich, CR 2010, 686 (691). 196 Söbbing, MMR 2008, Heft 5, XII (XIII). 191 Leupold,
66
B. Grundlagen des Cloud Computing
damit einen Wettbewerbsvorteil gegenüber seinen Konkurrenten zu erhalten und die Sicherheit der Cloud-Infrastruktur zu bewahren.197 Inwiefern der Cloud-Nutzer die Kontrolle über seine Daten behält, hängt von dem genutzten Cloud-Modell ab. Während der Cloud-Nutzer bei einer Private Cloud die Kontrolle über seine Daten behält, übergibt er bei einer Public Cloud die Kontrolle der Daten an den Cloud-Anbieter. Selbst wenn der Vertrag zwischen dem Cloud-Anbieter und dem Cloud-Nutzer endet, kann sich der Cloud-Nutzer nicht gänzlich sicher sein, ob der Cloud-Anbieter all seine Daten von den Servern gelöscht hat. Da der Cloud-Nutzer beim Cloud Computing keinen Zugriff auf die physische Hardware des CloudAnbieters hat, muss er dem Cloud-Anbieter bei der Umsetzung von Sicherheitsmaßnahmen und bei der vertraulichen Behandlung seiner ausgelagerten Daten Vertrauen entgegenbringen.198 Die Angriffsfläche ist bei Cloud-Anbietern um einiges größer als bei kleinen und mittelständischen Unternehmen. Die Server von Cloud-Anbietern sind ein beliebtes Angriffsziel. Sollte ein Angriff auf einen Cloud-Anbieter erfolgreich sein, gelangt der Angreifer an Daten von einer großen Zahl an Cloud-Nutzern.199 Ein weiterer Nachteil ist der sog. „Vendor Lock-In“. Der Cloud-Anbieter bietet dem Cloud-Nutzer den Zugang zu seiner Cloud über Schnittstellen an. Diese Schnittstellen sind oft nicht standardisiert. Nicht alle Anbieter von Cloud-Dienstleistungen verwenden dieselben Schnittstellen.200 Möchte ein Cloud-Nutzer den Cloud-Anbieter wechseln, steht er vor dem Problem, wie er seine Daten von einem Cloud-Anbieter zu einem anderen Cloud-Anbieter übertragen kann, wenn diese nicht dieselben Schnittstellen zur Übertragung verwenden. Meist wird der Cloud-Nutzer nicht über die Ressourcen verfügen, um die ausgelagerten Daten zunächst auf einen eigenen Server übertragen und dann die Daten wiederum zum neuen Cloud-Anbieter transferieren zu können. Verwenden die Cloud-Anbieter verschiedene Schnittstellen, ist eine Direktübertragung der Daten vom alten zum neuen Cloud-Anbieter nicht möglich. Die wegen des Fehlens einer Standardisierung bestehende Abhängigkeit eines Cloud-Nutzers von seinem Cloud-Anbieter heißt Vendor Lock-In.201 Bei SaaS-Diensten kann ein Vendor Lock-In dann entstehen, wenn der Cloud-Anbieter die Daten in einem proprietären Format speichert. 197 Birk / Heinson / Wegener, DuD 2011, 329 (330); Schrotz / Zdanowiecki, CR 2015, 485 (488). 198 Heidrich / Wegener, MMR 2010, 803. 199 Lehmann / Giedke, CR 2013, 608 (609 f.). 200 Mather / Kumaraswamy / Latif, Cloud Security and Privacy, S. 16; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 102 f.; Schulz / Rosenkranz, ITRB 2009, 232 (234).
IX. Nachteile von Cloud Computing67
Viele Cloud-Anbieter bieten bei SaaS-Anwendungen aber eine Exportmöglichkeit, so dass es im Rahmen von SaaS-Anwendungen seltener zu einem Vendor Lock-In kommen dürfte.202 In der DS-GVO wird in Art. 20 DS-GVO ein neues Betroffenenrecht, nämlich das Recht auf Datenübertragbarkeit203, das auch Recht auf Datenportabilität genannt wird, eingeführt. Das Recht auf Datenportabilität soll dafür sorgen, dass die Betroffenen ihre personenbezogenen Daten von der verantwortlichen Stelle verlangen und sie zu einer anderen Stelle mitnehmen können. Durch das Recht auf Datenportabilität sollen die Vendor LockIn Effekte vermieden werden.204 Problematisch ist dieses Recht bei Mehrpersonenverhältnissen. Das Recht auf Datenportabilität steht nur der betroffenen Person zu. Bei der Auslagerung von Kunden- und Personaldaten in eine Cloud möchte aber das Unternehmen diese Daten zu einem anderen Cloud-Anbieter übernehmen. Da das Unternehmen aber nicht der Betroffene in Bezug auf die ausgelagerten personenbezogenen Daten ist, kann das Unternehmen das Recht auf Datenportabilität nicht gegenüber dem alten Cloud-Anbieter geltend machen.205 Cloud-Anbieter garantieren ihren Nutzern meist in sog. „Service Level greements“ (SLA), dass der Cloud-Dienst im Jahr eine gewisse prozentuale A Verfügbarkeit besitzt. Die meisten großen Cloud-Anbieter garantieren eine Verfügbarkeit ihrer Dienste von über 99 Prozent im Jahresmittel.206 Doch es kann hin und wieder passieren, dass der Cloud-Dienst nicht mehr erreichbar ist, sei es aufgrund technischer Probleme oder Naturereignisse, wie beispielsweise Blitzschläge. Kommt es zu einem derartigen Ausfall, den der CloudAnbieter nicht rechtzeitig, z. B. durch kurzfristiges Kopieren der Daten in ein anderes Rechenzentrum oder durch Einschalten der Notaggregate, verhindern kann, kann der Cloud-Nutzer für die Dauer des Ausfalls beim Cloud-Anbieter nicht auf die Kunden- bzw. Personaldaten zugreifen.207 Schlimmer als ein 201 Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 102 f.; Lehmann / Giedke, CR 2013, 608 (609); Paulus, DuD 2011, 317 (318); Roth-Neuschild, ITRB 2013, 213 (215). 202 Paulus, DuD 2011, 317 (318). 203 Für Details siehe Härting, DS-GVO, S. 177 f. Rn. 725 ff. 204 Dehmel / Hullen, ZD 2013, 147 (153); Hornung / Sädtler, CR 2012, 638 (641); Roßnagel / Richter / Nebel, ZD 2013, 103 (107). 205 Hornung / Sädtler, CR 2012, 638 (641). 206 Siehe ausführlich zu SLA Strittmatter, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 934 ff. Rn. 97 ff.; Opfermann, ZEuS 2012, 121 (154 ff.). 207 Becker, Von App Store bis Apple Music: Ausfall bei Apples Cloud-Diensten; Briegleb, Internetdienste nach Amazon-Störung mit Schluckauf; Jurran, Deutsche Telekom: Ausfall des Qivicon-Servers legt Smart Homes lahm; Kirsch, Blitz stört
68
B. Grundlagen des Cloud Computing
Ausfall der Cloud wiegt es, wenn aufgrund des Ausfalls Daten unwiederbringlich verloren gehen, wie 2011 bei Amazon geschehen.208 Auch ein Ausfall der Internetverbindung kann dazu führen, dass der Cloud-Nutzer nicht mehr auf seine Daten in der Cloud zugreifen kann.209 Bei der Nutzung einer eigenen internen IT-Abteilung ist auch beim Ausfall der Internetverbindung ein Zugriff auf die internen Daten noch möglich. Dazu ist allerdings anzumerken, dass die Technik schon so weit vorangeschritten ist, dass es nur noch selten Ausfälle gibt. Da das Herstellen der Internetverbindung über mehrere Wege (beispielsweise Glasfaser, Telefonnetz, Kabel, Mobilfunk, Satellit) möglich ist, kann auf einfachem Wege ein Backup der Internetverbindung installiert werden.
X. Beteiligte Personen und deren datenschutzrechtliche Rollen Bei der Nutzung von Cloud-Diensten kann eine Vielzahl von Personen beteiligt sein. Möchte ein Unternehmen beispielsweise einen Cloud-Dienst nutzen, um Kunden- und Personaldaten in die Cloud auszulagern, ist das Unternehmen der Cloud-Nutzer. Der Anbieter der Cloud-Dienste heißt Cloud-Anbieter. Erbringt der Cloud-Anbieter die Cloud-Dienste nicht selbstständig, sondern nutzt z. B. den Speicherplatz oder die Software eines anderen Anbieters, kommen zu den beteiligten Personen auch noch ein oder mehrere Unterauftragnehmer hinzu. Die Kunden bzw. die Arbeitnehmer, deren Daten auf den Cloud-Anbieter ausgelagert werden, sind die Betroffenen.
Abbildung 3: Beteiligte Personen und ihre Rollen bei der Auslagerung von Kunden- bzw. Personaldaten in die Cloud Amazons und Microsofts Cloud in Irland; Ungerer, Google-Speicherdienst ausgefallen. 208 Haupt, Wolkenbruch bei Amazon: Datenverlust in der Cloud. 209 Bisges, MMR 2012, 574 (575).
X. Beteiligte Personen und deren datenschutzrechtliche Rollen69
1. Der Cloud-Nutzer (Cloud-Anwender / Cloud-Kunde) Der Cloud-Nutzer ist eine natürliche oder juristische Person, die von den betroffenen Personen personenbezogene Daten unter der Verwendung von Cloud-Diensten eines Cloud-Anbieters erhebt, verarbeitet oder nutzt.210 Der Cloud-Nutzer ist bei der Auslagerung von Kunden- bzw. Personaldaten in die Cloud immer die für die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten der Kunden bzw. Arbeitnehmer verantwortliche Stelle i. S. v. § 3 Abs. 7 BDSG. 2. Der Cloud-Anbieter Der Cloud-Anbieter ist jede natürliche oder juristische Person, die einem Cloud-Nutzer Cloud-Dienste zur Verfügung stellt. Der Cloud-Anbieter kann bei der Erbringung der Cloud-Dienste auch Unterauftragnehmer einsetzen, wenn ihm selbst die für die Erbringung der Cloud-Dienste erforderlichen Ressourcen fehlen.211 Für die datenschutzrechtliche Betrachtung der Rolle des Cloud-Anbieters muss differenziert werden. Liegt bei der Auslagerung der Kunden- bzw. Personaldaten eine Auftragsdatenverarbeitung nach § 11 BDSG vor, bleibt die datenschutzrechtliche Verantwortlichkeit vollständig bei dem CloudNutzer. Der Cloud-Nutzer ist die verantwortliche Stelle. Erfolgt die Auslagerung der Daten aber in Form einer Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG, trägt der Cloud-Anbieter selbst die Verantwortung für jegliche Verwendung der personenbezogenen Daten der Kunden bzw. Arbeitnehmer, die nach Auslagerung der Daten auf den Servern des Cloud-Anbieters stattfindet. 3. Der Unterauftragnehmer (Subunternehmer / Ressourcen-Anbieter) Unterauftragnehmer stellen dem Cloud-Anbieter Ressourcen (z. B. Rechenleistung, Speicherplatz oder Software) bereit, mit denen der CloudAnbieter seine Cloud-Dienste betreiben kann. Nicht bei jeder Nutzung eines Cloud-Dienstes ist auch ein Unterauftragnehmer beteiligt. Große CloudAnbieter wie Amazon, Google oder Microsoft besitzen selbst ausreichend Ressourcen, so dass sie keine weiteren Unterauftragnehmer einzuschalten brauchen. 210 DSK, 211 DSK,
Orientierungshilfe Cloud Computing – Version 2.0, S. 7. Orientierungshilfe Cloud Computing – Version 2.0, S. 7.
70
B. Grundlagen des Cloud Computing
Für die Verantwortlichkeit des Unterauftragnehmers gilt das bereits zu dem Cloud-Anbieter Ausgeführte. Ist die Ausgestaltung des Unterauftrags in Form einer Auftragsdatenverarbeitung nach § 11 BDSG möglich, ist für alle Datenverarbeitungen – auch für Verarbeitungen, die nach dem Datentransfer auf den Servern des Unterauftragnehmers erfolgen – allein der Cloud-Nutzer verantwortliche Stelle. Werden die Daten im Rahmen des Unterauftrags dagegen durch eine Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG übertragen, wird der Unterauftragnehmer selbst verantwortliche Stelle für alle Datenverarbeitungen, die nach der Auslagerung auf den Servern des Unterauftragnehmers stattfinden. Dieses Prinzip kann beim Einsatz weiterer Unterauftragnehmer durch den Unterauftragnehmer fortgesetzt werden. 4. Der Betroffene Der Betroffene ist nach § 3 Abs. 1 BDSG diejenige natürliche Person, deren personenbezogene Daten erhoben, verarbeitet oder genutzt werden. Lagert ein Unternehmen Kunden- bzw. Personaldaten in die Cloud aus, sind die Kunden bzw. die Arbeitnehmer des Unternehmens die betroffenen Personen. Aus der datenschutzrechtlichen Stellung des Betroffenen leiten sich Rechte aus dem BDSG nach §§ 33 ff. BDSG bzw. aus der DS-GVO nach Art. 15 ff. DS-GVO ab. Der Betroffene hat beispielsweise nach § 35 BDSG bzw. Art. 17 DS-GVO ein Recht auf Löschung seiner personenbezogenen Daten.
XI. Zusammenfassung Dieser Untersuchung wird die NIST-Definition von „Cloud Computing“ zugrunde gelegt, weil sie sehr ausführlich ist und auch in Deutschland über eine große Akzeptanz verfügt. Die historische Entwicklung von verteilten Systemen bis hin zum Cloud Computing zeigt, dass das Cloud Computing zwar ein neues Geschäftsmodell ist, die genutzten Techniken und Technologien aber von skalierten Systemen, Utility-Computing, IT-Outsourcing und ASP entlehnt sind. Das passende Service-Modell für das Kunden- und Personaldatenmanagement kleiner und mittelständischer Unternehmen ist SaaS, das passende Cloud-Modell eine Public Cloud. Die wirtschaftliche Bedeutung von Cloud Computing ist schon groß, wird aber in den nächsten Jahren noch weiter wachsen. Allerdings muss ein Unternehmen, das seine Kunden- bzw. Personaldaten auslagern möchte, im Vorfeld schon auf die Risiken für die Datensicherheit und die Nachteile, welche insbesondere in Intransparenz und Kontrollverlust bestehen, achten.
C. Auslagerung von Kunden- und Personaldaten in die Cloud I. Anwendbares Datenschutzrecht Das Datenschutzrecht, dessen Ziel und Zweck es ist, das vom BVerfG im sog. „Volkszählungsurteil“1 aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG abgeleitete Recht auf informationelle Selbstbestimmung einer jeden natürlichen Person vor Beeinträchtigungen Dritter bei dem Umgang mit den personenbezogenen Daten des Betroffenen zu schützen, ist eine sog. „Querschnittsmaterie“.2 Das Datenschutzrecht ist somit in allen Lebensbereichen und in allen Rechtsgebieten von Bedeutung. Daher gibt es in Deutschland nicht nur ein einziges Datenschutzgesetz, das alle Bereiche regelt, sondern datenschutzrechtliche Regelungen sind über viele Spezialgesetze verstreut. So finden sich bereichsspezifische Regelungen in den Sozialgesetzbüchern (§ 35 SGB I, §§ 67 ff. SGB X), in der Strafprozessordnung (§§ 161, 161a StPO), im Telekommunikationsgesetz (§§ 11 ff. TMG) und im Telemediengesetz (§§ 91 ff. TKG), um nur einige Beispiele zu nennen.3 Daneben gibt es das BDSG und die Datenschutzgesetze der Länder, die das allgemeine Datenschutzrecht bilden.4 Das BDSG setzt die Vorschriften der EG-Datenschutzrichtlinie 95 / 46 / EG5 (im Folgenden: „DS-RL“) um. Die EU-Kommission erkannte, dass die DS-RL, die bislang den Datenschutz in der EU und dem EWR regelte, in den Mitgliedstaaten unterschiedlich umgesetzt ist.6 Daher hat sie am 25. Januar 2012 einen Vorschlag für eine Datenschutzgrundverordnung vorgelegt.7 Neben der DS-GVO bildet 1 BVerfG,
Urteil vom 15.12.1983 – 1 BvR 209 / 83, NJW 1984, 419 ff. BDSG, § 1 Rn. 6 ff.; Ronellenfitsch, in: Wolff / Brink (Hrsg.), BDSG, Einleitung Rn. 4; Gola / Klug, Grundzüge des Datenschutzrechts, S. 7. 3 Schmidt, in: Taeger / Gabel (Hrsg.), BDSG, § 1 Rn. 36. 4 Gola / Klug, Grundzüge des Datenschutzrechts, S. 7. 5 RL 95 / 46 / EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 6 Gola / Schulz, RDV 2013, 1. 7 EU-Kommission, KOM(2012) 11 endgültig; Ehmann (Hrsg.), ZD 2015, 6; Gola / Schulz, RDV 2013, 1; Härting, CR 2013, 715; Hornung, ZD 2012, 99; Roßnagel / Kroschwald, ZD 2014, 495; Roßnagel / Nebel / Richter, ZD 2015, 455. 2 Gola / Schomerus,
72
C. Auslagerung von Kunden- und Personaldaten in die Cloud
eine Richtlinie zur Datenverarbeitung im Bereich von Strafverfolgung und Gefahrenabwehr den neuen Rechtsrahmen für die Verarbeitung personenbezogener Daten in der EU.8 Dieser neue einheitliche Rahmen gilt sowohl für den nicht-öffentlichen als auch für den öffentlichen Bereich,9 soweit keine Öffnungsklauseln für Regelungen durch den nationalen Gesetzgeber, wie beispielsweise in Art. 6 Abs. 2 DS-GVO, Art. 88 DS-GVO und Art. 90 DS-GVO, bestehen.10 Die Form der Verordnung für die DS-GVO wurde bewusst gewählt, da sie gem. Art. 288 Abs. 2 Satz 2 AEUV ohne Umsetzungsakt der nationalen Gesetzgeber unmittelbar in den Mitgliedstaaten der EU gilt. Die Wahl einer Verordnung war dabei nicht unumstritten.11 Angesichts der unmittelbaren Geltung der DS-GVO werden weite Teile der deutschen bereichsspezifischen Regelungen – und damit auch weite Teile des BDSG – nicht mehr gelten.12 Am 12. März 2014 hat das EU-Parlament seine Verhandlungsposition vorgelegt.13 Der Rat der EU hat am 11. Juni 2015 sein Verhandlungsdokument beschlossen.14 Die Entwürfe des Parlaments und des Rats beziehen sich auf den Vorschlag der Kommission für eine Datenschutzgrundverordnung, schlagen aber zum Teil weitreichende Änderungen und Ergänzungen vor.15 Delegationen von Kommission, Parlament und Rat haben ausgehend von den drei Entwürfen einer Datenschutzgrundverordnung im sog. „Trilog“ gem. Art. 294 AEUV eine gemeinsame Position gefunden. Die Einigung erfolgte am 15. Dezember 2015.16 Am 27. April 2016 wurde der Text der DS-GVO in seiner endgültigen Fassung vom EU-Parlament und vom Rat der EU förmlich angenommen.17 Die DS-GVO wird gem. Art. 99 8 Richtlinie (EU) 2016 / 680 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008 / 977 / JI des Rates, ABl. EU Nr. L 119 vom 04.05.2016, S. 89 ff. 9 Gola / Schulz, RDV 2013, 1; Härting, CR 2013, 715 (716). 10 Buchner, DuD 2016, 155 (160); Kort, DB 2016, 711; Kraska, ZD-Aktuell 2016, 04173. 11 Hornung, ZD 2012, 99 (100); Roßnagel / Kroschwald, ZD 2014, 495. 12 Hornung / Sädtler, CR 2012, 638 (639); Wybitul / Sörup / Pötters, ZD 2015, 559. 13 EU-Parlament, P7_TA-PROV(2014)0212; Roßnagel / Kroschwald, ZD 2014, 495; Roßnagel / Nebel / Richter, ZD 2015, 455. 14 Rat der Europäischen Union, Dok. 9565 / 15; Roßnagel / Nebel / Richter, ZD 2015, 455. 15 Roßnagel / Nebel / Richter, ZD 2015, 455. 16 Rat der Europäischen Union, Dok. 15039 / 15. 17 Verordnung (EU) 2016 / 679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezoge-
I. Anwendbares Datenschutzrecht73
Abs. 2 DS-GVO ab 25. Mai 2018 in der ganzen EU gelten und ab diesem Zeitpunkt gem. Art. 94 DS-GVO die DS-RL ablösen. Die DS-GVO verfolgt nach Art. 1 Abs. 1 DS-GVO zwei Ziele. So sollen natürliche Personen bei der Verarbeitung geschützt werden. Außerdem soll der freie Verkehr von personenbezogenen Daten innerhalb der EU gefördert werden. 1. Sachlicher Anwendungsbereich und Normadressat Das BDSG gilt gem. § 1 Abs. 2 BDSG grundsätzlich für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen des Bundes (Nr. 1), öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt (Nr. 2), und nicht-öffentliche Stellen, soweit sie Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten (Nr. 3). Aufgrund der vielen bereichsspezifischen Regelungen ist das BDSG ein sog. „Auffanggesetz“. Das BSDG ist nur subsidiär anwendbar.18 Andere Rechtsvorschriften des Bundes gehen den Vorschriften des BDSG gem. § 1 Abs. 3 Satz 1 BDSG vor, soweit sie auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt nach § 1 Abs. 3 Satz 2 BDSG unberührt. Sollten spezialgesetzliche Vorschriften bei der Auslagerung der Kundenund Personaldaten an einen Cloud-Anbieter einschlägig sein, wäre der sachliche Anwendungsbereich des BDSG nicht eröffnet, soweit Tatbestandskongruenz der spezialgesetzlichen Regelung mit dem BDSG gegeben ist. Tatbestandskongruenz besteht dann, wenn zwei oder mehrere Gesetze denselben Sachverhalt regeln.19 ner Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95 / 46 / EG (Datenschutz-Grundverordnung), ABl. EU Nr. L 119 vom 04.05.2016. 18 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 1 Rn. 12; Gola / Schomerus, BDSG, § 1 Rn. 23; Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 35 f.; Gusy, in: Wolff / Brink (Hrsg.), BDSG, § 1 Rn. 78. 19 Gola / Schomerus, BDSG, § 1 Rn. 24; Schmidt, in: Taeger / Gabel (Hrsg.), BDSG, § 1 Rn. 34; Gusy, in: Wolff / Brink (Hrsg.), BDSG, § 1 Rn. 80.
74
C. Auslagerung von Kunden- und Personaldaten in die Cloud
a) Vorrang spezialgesetzlicher Regelungen Bei Vorliegen einer Tatbestandskongruenz gehen bereichsspezifische Gesetze bzw. deren Regelungen, wie z. B. das TMG oder das TKG, dem BDSG bzw. dessen Regelungen vor.20 Im TMG finden sich datenschutzrechtliche Vorschriften in den §§ 11 ff. TMG, im TKG in den §§ 91 ff. TKG. Unterfallen die Cloud-Dienste, die das Unternehmen für die Auslagerung von Kunden- und Personaldaten einsetzt, entweder den Datenschutzregelungen des TKG oder des TMG, darf insoweit nicht auf das allgemeine BDSG zurückgegriffen werden, soweit die bereichsspezifischen Gesetze spezielle Regelungen treffen. Bei der Feststellung, ob das TMG, das TKG oder das BDSG anwendbar ist, kann das sog. „Schichtenmodell“ eine Hilfestellung geben: Das Schichtenmodell besteht aus drei Ebenen. Die erste Ebene ist die Telekommunikationsebene. Unter diese Ebene fällt die reine Datenübertragung. Die zweite Ebene ist die Dienstebene, die die Interaktion von Anbieter und Nutzer umfasst. Die dritte Ebene ist die Inhaltsebene. Diese Ebene umfasst die Kommunikation an sich. Beim Vorliegen der ersten Ebene soll allein das TKG, beim Vorliegen der zweiten Ebene nur das TMG und beim Vorliegen der dritten Ebene das BDSG anwendbar sein. Da das Schichtenmodell in keiner Datenschutzregelung erwähnt wird, kann es nur dazu dienen, einen groben Überblick über die Einteilung der an den Cloud-Anbieter übermittelten Daten zu geben. Im Rahmen des Cloud Computing müssen die einzelnen Dienste aufgrund ihrer unterschiedlichen Ausformungen getrennt betrachtet werden.21 aa) Anwendbarkeit des TKG §§ 91 ff. TKG gelten gem. § 91 Abs. 1 Satz 1 TKG für den Schutz personenbezogener Daten der Teilnehmer und Nutzer von Telekommunikation. Telekommunikation ist nach § 3 Nr. 22 TKG der technische Vorgang des Aussendens, Übermittelns und Empfangens von Signalen mittels Telekommunikationsanlagen. Zur Telekommunikation zählen vor allem auch die Telekommunikationsdienste. Diese Telekommunikationsdienste sind gem. § 3 Nr. 24 TKG in der Regel gegen Entgelt erbrachte Dienste, die ganz oder 20 Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 37; Moos, in: Taeger / Gabel (Hrsg.), BDSG, Einleitung TMG Rn. 5; Schmidt, in: Taeger / Gabel (Hrsg.), BDSG, § 1 Rn. 36; Gusy, in: Wolff / Brink (Hrsg.), BDSG, § 1 Rn. 82; Boos / Kroschwald / Wicker, ZD 2013, 205. 21 Hullen / Roggenkamp, in: Plath (Hrsg.), BDSG, § 11 TMG Rn. 12; Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1207 f. Rn. 27; Schaar, Datenschutz im Internet, S. 83 ff. Rn. 247 ff.; Ernst, NJOZ 2010, 1917 (1918); Schaar, MMR 2001, 644 (645).
I. Anwendbares Datenschutzrecht75
überwiegend in der Übertragung von Signalen über Telekommunikationsnetze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen. Telekommunikationsdienste sind somit „alle Vorgänge der Nachrichtenübertragung […], bei denen keine Aufbereitung von Inhalten erfolgt.“22 Dienste anbieter i. S. v. § 3 Nr. 6 TKG ist jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt. Klassische Telekommunikationsdienste sind beispielsweise Sprachtelefon- und Internetzugangsdienste.23 Überträgt der Cloud-Anbieter im Rahmen der Erbringung von CloudDiensten überwiegend Signale über Telekommunikationsnetze, ist das TKG anwendbar. Bei der Erbringung von IaaS-, PaaS- oder SaaS-Diensten ist dies regelmäßig nicht der Fall. Wenn der Cloud-Anbieter überhaupt selbst Signale überträgt, stellt dies in den meisten Fällen nur eine Nebenleistung neben der Bereitstellung der diversen Cloud-Dienste dar.24 Bei IaaS-, PaaSund SaaS-Diensten ist die Signalübertragung nur von untergeordneter Bedeutung.25 Um eine Ausnahme handelt es sich, wenn der Cloud-Anbieter einen sog. „Communication-as-a-Service (CaaS)“ Dienst anbietet. CaaSDienste sind als Telekommunikationsdienste nach § 3 Nr. 24 TKG zu qualifizieren.26 Selbst wenn die datenschutzrechtlichen Vorschriften des TKG anwendbar sind, gelten diese gem. § 91 Abs. 1 Satz 1 TKG nur im Verhältnis zwischen Cloud-Anbieter und dem Cloud-Nutzer, also dem Unternehmen. Sind personenbezogene Daten einer dritten Person betroffen, beispielsweise bei der Auslagerung von Kunden- und Personaldaten, findet das TKG auf die Kunden- und Personaldaten keine Anwendung.27 Bei der Auslagerung von Kunden- und Personaldaten muss das auslagernde Unternehmen nicht vorrangig die datenschutzrechtlichen Vorschriften des TKG beachten.
22 Schmitz,
DuD 2001, 395 (396). ZD 2013, 205 (206). 24 Heidrich / Wegener, in: Forgó / Helfrich / Schneider (Hrsg.), Betrieblicher Datenschutz, S. 481 Rn. 22; Boos / Kroschwald / Wicker, ZD 2013, 205 (206); Heidrich / Wegener, MMR 2010, 803 (805); Opfermann, ZEuS 2012, 121 (130). 25 Boos / Kroschwald / Wicker, ZD 2013, 205 (206). 26 Nolte, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 384 Rn. 15; Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 185 f.; Gaul / Koehler, BB 2011, 2229; Grünwald / Döpkens, MMR 2011, 287 f.; Schuster / Reichl, CR 2010, 38 (43). 27 Grünwald / Döpkens, MMR 2011, 287 (289); Opfermann, ZEuS 2012, 121 (130). 23 Boos / Kroschwald / Wicker,
76
C. Auslagerung von Kunden- und Personaldaten in die Cloud
bb) Anwendbarkeit des TMG Das TMG und damit die datenschutzrechtlichen Vorschriften des TMG (§§ 11–15a TMG) wären dann auf die Auslagerung von Kunden- und Personaldaten anwendbar, wenn es sich bei den Cloud-Diensten um Telemedien handelte. Der Begriff der Telemedien wird negativ abgegrenzt. Gem. § 1 Abs. 1 Satz 1 TMG sind Telemedien alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 des TKG, die ganz in der Übertragung von Signalen über Telekommunikationsnetze bestehen, telekommunikationsgestützte Dienste nach § 3 Nr. 25 des TKG oder Rundfunk nach § 2 des Rundfunkstaatsvertrags sind. Elektronische Informations- und Kommunikationsdienste sind alle denkbaren Arten multimedialer Angebote, deren Dienstleistung in der elektronischen Bereitstellung der Dienste besteht.28 Klassische Telemedien sind Internetangebote, wie beispielsweise Websites, Meinungsforen, Wikis, Online-Spiele und Online-Shops.29 Einer Ansicht30 nach sind Cloud-Dienste keine Telemediendienste. Telemediendienste dienten ihrem Charakter nach der Individualkommunikation. Cloud-Dienste hätten aber in der Regel dieses kommunikative Element nicht. Dagegen besagt eine andere Ansicht31, dass ein kommunikatives Element keine zwingende Voraussetzung für das Vorliegen eines Telemediendienstes sei. Das OLG Düsseldorf ist der Ansicht, dass Cloud-Dienste Telemediendienste i. S. d. TMG seien. In seinem Rapidshare-Urteil32 vom 27. April 2010 sieht es den Filehoster Rapidshare als Cloud-Dienst an und hält ihm das Haftungsprivileg des § 10 TMG zugute. Neben dem OLG halten auch diverse Autoren33 das TMG grundsätzlich auf Cloud-Dienste anwendbar. Dem ist zuzustimmen. Das TMG erfordert in keiner Regelung explizit ein kommunikatives Element.34 Die grundsätzliche Möglichkeit der Anwendbarkeit des TMG auf Cloud-Dienste sagt aber noch nichts darüber aus, ob alle Daten, die bei der Nutzung von Cloud-Diensten anfallen, unter den Regelungsbereich des TMG fallen. Das TMG regelt in den datenschutz28 Ricke, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, § 1 TMG Rn. 4. 29 Hullen / Roggenkamp, in: Plath (Hrsg.), BDSG, § 11 TMG Rn. 6; Moos, in: Taeger / Gabel (Hrsg.), BDSG, Einleitung TMG Rn. 5. 30 Schuster / Reichl, CR 2010, 38 (42). 31 Heidrich / Wegener, MMR 2010, 803 (805). 32 OLG Düsseldorf, Urteil vom 27.04.2010 – I-20 U 166-09, MMR 2010, 483 ff. 33 Hullen / Roggenkamp, in: Plath (Hrsg.), BDSG, § 11 TMG Rn. 9; Moos, in: Taeger / Gabel (Hrsg.), BDSG, Einleitung TMG Rn. 5; Kremer / Völkel, CR 2015, 501 (502). 34 So auch Heidrich / Wegener, MMR 2010, 803 (805).
I. Anwendbares Datenschutzrecht77
rechtlichen Normen nämlich diverse Kategorien von personenbezogenen Daten. In § 14 TMG finden sich Regelungen über Bestandsdaten, in § 15 TMG über Nutzungsdaten. Eine dritte Kategorie, die nicht dem TMG unterfällt, sind die sog. „Inhaltsdaten“.35 Bestandsdaten sind gem. § 14 Abs. 1 TMG personenbezogene Daten eines Nutzers, die für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Dienstanbieter und dem Nutzer über die Nutzung von Telemedien erforderlich sind. Beispiele für Bestandsdaten sind Daten wie Name, Adresse, Rufnummer, Benutzername und Passwort.36 Nutzungsdaten sind gem. § 15 Abs. 1 Satz 1 TMG personenbezogene Daten eines Nutzers, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Nutzungsdaten sind beispielsweise Daten über die Art und Dauer der Nutzung des Dienstes, wie der Zeitstempel des Login und des Logout, sowie die IP-Adresse des Nutzers. Das Gesetz nennt den Begriff der Inhaltsdaten nicht. Inhaltsdaten sind alle personenbezogenen Daten, die sich nicht unter Nutzungsdaten und Bestandsdaten einordnen lassen. Bei Vorliegen von Inhaltsdaten findet das BDSG und nicht das TMG Anwendung.37 Eine klare Grenzziehung zwischen Bestandsdaten, Nutzungsdaten und Inhaltsdaten ist oft nicht möglich. Es ist demnach auch nicht möglich, eine generelle Aussage zu treffen, in welche Kategorie Daten fallen, die bei der Nutzung von Cloud-Diensten anfallen, und in der Folge welches Gesetz Anwendung findet. Vielmehr muss nach Art der Services und der Phase der Nutzung von Cloud-Diensten unterschieden werden. Bei dem ersten Besuch der Cloud-Anbieter-Website, bevor überhaupt ein Vertrag zwischen CloudAnbieter und Cloud-Nutzer zustande gekommen ist, können Nutzungsdaten anfallen. Bei der Registrierung bzw. Anmeldung gibt der Cloud-Nutzer Bestandsdaten ein. Bei der Nutzung des Cloud-Dienstes fallen weitere Nutzungsdaten an, die der Cloud-Anbieter möglicherweise mit den Bestandsdaten, die bei der Registrierung bzw. Anmeldung eingegeben wurden, verknüpfen kann. Über die Daten, die bei der Registrierung bzw. Anmeldung 35 Boos / Kroschwald / Wicker,
ZD 2013, 205 (207). in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Comput ing, S. 436 Rn. 69; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 172 f.; Boos / Kroschwald / Wicker, ZD 2013, 205 (206 f.). 37 Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Comput ing, S. 436 Rn. 69; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 172 f.; Boos / Kroschwald / Wicker, ZD 2013, 205 (207). 36 Schultze-Melling,
78
C. Auslagerung von Kunden- und Personaldaten in die Cloud
und der Nutzung des Cloud-Dienstes anfallen, trifft das TMG somit in § 14 f. TMG Regelungen.38 Von den Daten, die im Rahmen der Registrierung bzw. Anmeldung und der Nutzung eingegeben wurden, sind die Daten zu unterscheiden, die vom Cloud-Nutzer selbst in die Cloud eingebracht werden. Um eine Einordnung der vom Nutzer eingebrachten Daten besser vornehmen zu können, empfiehlt es sich, zwischen den verschiedenen Bereitstellungsmodellen des Cloud Computing zu differenzieren: Im Rahmen von IaaS werden Daten vom Nutzer an den Cloud-Anbieter übertragen, um beispielsweise dessen Speicherplatz oder dessen Rechenkapazität zu benutzen. Diese Daten fallen nicht notwendigerweise bei der Nutzung des Telemediums an und sie sind auch nicht nötig, um den Dienst in Anspruch zu nehmen. Die Daten werden nicht automatisch an den Cloud-Anbieter übertragen. Vielmehr entscheidet der Nutzer bewusst, welche Daten er an den Cloud-Anbieter übertragen möchte. Die vom Nutzer übertragenen Daten entstehen nicht aufgrund der technischen Abwicklung des Dienstes, sondern werden vom Nutzer im Rahmen der Nutzung des Cloud-Dienstes eingegeben. Der Cloud-Anbieter braucht den Inhalt der Daten auch nicht zu kennen, um den Cloud-Dienst bereitzustellen. Bei den vom Nutzer ausgewählten und übertragenen Daten handelt es sich also nicht um Nutzungsdaten, sondern vielmehr um Inhaltsdaten. Die Inhaltsdaten unterfallen dem Regelungsbereich des BDSG.39 Schwieriger ist die Frage zu beantworten, welcher Kategorie die Daten zuzuordnen sind, die bei der Nutzung eines SaaS-Dienstes anfallen, also auch bei der Auslagerung von Kunden- und Personaldaten. Bei der Nutzung eines SaaS-Dienstes, der der Verwaltung von Kunden- und Personaldaten dient, werden die Kunden- und Personaldaten im Browser über eine Eingabemaske – bzw. in seltenen Fällen über eine spezielle Software des CloudAnbieters – dem Cloud-Dienst übergeben. Es fragt sich, welcher Kategorie von personenbezogenen Daten die eingegebenen Daten angehören. Sie könnten Nutzungsdaten sein, da die Eingabe notwendig für die Verwaltung der Kunden- und Personaldaten in der Cloud ist. Die Daten könnten aber auch Inhaltsdaten sein, die, wie bei der Nutzung eines IaaS-Dienstes, im 38 Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 174 f.; Boos / Kroschwald / Wicker, ZD 2013, 205 (207). 39 Hullen / Roggenkamp, in: Plath (Hrsg.), BDSG, § 11 TMG Rn. 9; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 176 f.; Boos / Kroschwald / Wicker, ZD 2013, 205 (207 f.); a. A. Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1208 f. Rn. 28 f.
I. Anwendbares Datenschutzrecht79
Cloud-Speicher abgelegt werden.40 Die eingegebenen Daten dienen allein der Verwaltung der Daten. Man kann auch die Daten einer fiktiven Person eingeben, die die Verwaltung ohne Anzeigen einer Fehlermeldung akzeptieren würde. Ginge man davon aus, dass die eingegebenen Kunden- und Personaldaten als Nutzungsdaten i. S. v. § 15 Abs. 1 Satz 1 TMG zu qualifizieren wären, dann würden dem Cloud-Anbieter immer die Verarbeitungsbefugnisse nach § 15 TMG zustehen. Er dürfte die Daten beispielsweise nach § 15 Abs. 3 TMG zu Werbezwecken gebrauchen. Dem Cloud-Nutzer liegt aber gerade daran, dass nur er selbst Zugriff auf die Kunden- und Personaldaten hat. Sowohl im Rahmen einer Auftragsdatenverarbeitung als auch im Rahmen einer Übermittlung sollen die betroffenen Personen vor unerlaubter Verarbeitung ihrer personenbezogenen Daten geschützt werden. Dieser umfangreiche Schutz würde durch § 15 Abs. 3 TMG unterlaufen werden. Um den Betroffenen umfangreich zu schützen, ist davon auszugehen, dass die im Rahmen eines SaaS-Dienstes eingegebenen Daten nicht Nutzungsdaten sind. Die Daten unterfallen nicht dem Regelungsbereich des TMG. Die Daten sind vielmehr Inhaltsdaten. Auf die Daten findet das BDSG Anwendung.41 Die datenschutzrechtlichen Normen des TMG gelten außerdem gem. § 11 TMG nur im Verhältnis Cloud-Anbieter zum Cloud-Nutzer / Unternehmen. Sind personenbezogene Daten von Dritten betroffen, z. B. im Rahmen der Auslagerung von Kunden- und Personaldaten, findet das TMG deshalb keine Anwendung auf die Daten der betroffenen Dritten.42 Auf die Auslagerung der Kunden- und Personaldaten, die Inhaltsdaten über Dritte sind, ist das TMG nicht anwendbar. cc) Anwendbarkeit des BDSG Bei der Auslagerung von Kunden- und Personaldaten finden auf diese Daten weder die datenschutzrechtlichen Vorschriften des TKG noch des
40 Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 277 ff.; Boos / Kroschwald / Wicker, ZD 2013, 205 (208). 41 So auch Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 277 ff.; Boos / Kroschwald / Wicker, ZD 2013, 205 (208); a. A. Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1208 f. Rn. 28 f. 42 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1208 f. Rn. 29; Boos / Kroschwald / Wicker, ZD 2013, 205 (208); Heidrich / Wegener, MMR 2010, 803 (805); Opfermann, ZEuS 2012, 121 (131).
80
C. Auslagerung von Kunden- und Personaldaten in die Cloud
TMG Anwendung. Der bereichsspezifische Datenschutz geht insofern nicht dem BDSG gem. § 1 Abs. 3 Satz 1 BDSG vor. b) BDSG Das BDSG ist auf die Auslagerung von Kunden- und Personaldaten in die Cloud anwendbar, wenn die Voraussetzungen des § 1 Abs. 2 BDSG gegeben sind. Das ist dann der Fall, wenn das Unternehmen durch die Auslagerung der Daten an einen Cloud-Anbieter personenbezogene Daten erhebt, verarbeitet oder nutzt. aa) Das personenbezogene Datum Personenbezogene Daten sind gem. § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Diese Person wird als Betroffener bezeichnet. Der Begriff des personenbezogenen Datums ist zentrales Tatbestandsmerkmal des Datenschutzrechts.43 (1) Einzelangaben über persönliche oder sachliche Verhältnisse Einzelangaben i. S. v. § 3 Abs. 1 BDSG sind alle Informationen geistiger Natur, unabhängig davon, in welcher Form die Informationen vorliegen.44 Die Angaben müssen die persönlichen oder sachlichen Verhältnisse einer Person betreffen. Bei den Daten muss es sich um solche handeln, die Informationen über den Betroffenen selbst oder über einen auf ihn beziehbaren Sachverhalt enthalten.45 Persönliche und sachliche Verhältnisse einer Person sind beispielsweise deren körperliche und geistige Eigenschaften, ihre Verhaltensweisen und Beziehungen oder identifizierende Angaben, wie der Name der Person.46 Dabei spielt die Unterscheidung zwischen den beiden Begriffen „persönlich“ und „sachlich“ für die Rechtsfolge keine Rolle. Vielmehr zeigt die Verwendung der beiden Begriffe, dass jegliche Informationen 43 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 5; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 3; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 3; Karg, ZD 2012, 255. 44 Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 7; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 4 f. 45 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 19; Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 9. 46 Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 7; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 4.
I. Anwendbares Datenschutzrecht81
über die natürliche Person zu den personenbezogenen Daten gehören sollen.47 Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise der Name, die Anschrift, die Telefonnummer und die E-MailAdresse einer Person.48 Die Kunden- und Personaldaten, die das auslagernde Unternehmen an den Cloud-Anbieter transferieren möchte, enthalten unter anderem den Namen und die Anschrift des Kunden bzw. des Arbeitnehmers. Daneben können die Kundendaten auch noch die Telefonnummer, die E-Mail-Adresse und beispielsweise die bisherigen Geschäftsbeziehungen mit dem Unternehmen enthalten. Die Personaldaten können neben Telefonnummer und E-Mail-Adresse noch Daten über Gewerkschaftszugehörigkeit, Religion und Krankheitstage enthalten.49 All diese Angaben sind Angaben über die persönlichen oder sachlichen Verhältnisse der Kunden bzw. Arbeitnehmer. (2) Bestimmte bzw. bestimmbare Person Die Definition der „personenbezogenen Daten“ setzt weiterhin voraus, dass die Person über die Einzelangaben bestimmt oder bestimmbar sein muss. Ob Bestimmtheit oder Bestimmbarkeit gegeben ist, ist für die Rechtsfolge irrelevant. Sowohl bei der Bestimmtheit als auch bei der Bestimmbarkeit einer Person können personenbezogene Daten vorliegen.50 (a) Bestimmtheit Die Bestimmtheit des Personenbezugs von Daten liegt vor, wenn die Daten mit dem Namen des Betroffenen verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt.51 Eine Person ist als bestimmt anzusehen, wenn sie in einer Personengruppe von allen anderen Personen abgegrenzt werden kann.52 Da Kunden- und 47 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 13; Gola / Schomerus, BDSG, § 3 Rn. 5; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 7. 48 Gola / Schomerus, BDSG, § 3 Rn. 3; Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 9. 49 Conrad, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 1591 Rn. 198; Grützmacher, ITRB 2007, 183 (184); Jandt / Nebel, NJW 2013, 1570 (1571); Wybitul / Rauer, ZD 2012, 160 (162). 50 Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 23; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 11. 51 Gola / Schomerus, BDSG, § 3 Rn. 10; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 13; Brink / Eckhardt, ZD 2015, 205. 52 Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 11; Artikel-29-Datenschutzgruppe, WP 136, S. 14.
82
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Personaldaten in der Datei mit Namensbezug gespeichert werden, sind sie bestimmt. Wird bei den Kunden- bzw. Personaldaten anstatt des Namens eine Kunden- bzw. Personalnummer verwendet, kann der Bezug zwischen Kunde bzw. Arbeitnehmer und Akte nicht unmittelbar hergestellt werden. Die Kunden- bzw. Personaldaten wären dann nicht bestimmt, aber möglicherweise bestimmbar.53 Erfolgt eine Anonymisierung der Kunden- und Personaldaten gem. § 3 Abs. 6 BDSG, ist zu untersuchen, ob diese Anonymisierung den Personenbezug gänzlich entfallen lässt oder ob die Anonymisierung dazu führt, dass die Daten bestimmbar sind. (b) Bestimmbarkeit „Bestimmbarkeit“ des Personenbezugs von Daten bedeutet, dass auch dann ein personenbezogenes Datum vorliegen kann, wenn ein Datum – möglicherweise über mehrere Zwischenschritte – einer Person zugeordnet werden kann. Eine Person ist bestimmbar, wenn es möglich ist, ihre Identität durch Verwendung von (zusätzlichen) Mitteln festzustellen, auch wenn dies noch nicht erfolgt ist.54 Es stellt sich die Frage, welche Mittel zur Herstellung der Verbindung zwischen den Daten und der Person der verantwortlichen Stelle zugerechnet werden dürfen, mithin ob auf die objektiven Möglichkeiten oder die subjektiven Fähigkeiten der Stelle abzustellen ist.55 Diese Frage ist schon seit langer Zeit umstritten. Sie ist insbesondere im Hinblick auf den Personenbezug von IP-Adressen relevant. Ende 2014 hatte sich der BGH mit dieser Frage zu befassen. Der BGH hat die Frage nach der Bestimmbarkeit im Hinblick des Personenbezugs von IP-Adressen dem EuGH zur Entscheidung vorgelegt.56 Die Vorlagefrage lautet: „Ist Art. 2 Buchstabe a der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG 1995 Nr. L 281, 31) Datenschutz-Richtlinie – dahin auszulegen, dass eine Internetprotokoll-Adresse (IP-Adresse), die ein Diensteanbieter im Zusammenhang mit einem Zugriff auf seine Internetseite speichert, für diesen schon dann ein personenbezogenes Datum darstellt, wenn ein Dritter (hier: Zugangsanbieter) über das zur Identifizierung der betroffenen Person erforderliche Zusatzwissen verfügt?“57
53 Eßer,
in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 16. in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 13; Artikel-29-Datenschutzgruppe, WP 136, S. 14; Brink / Eckhardt, ZD 2015, 205. 55 Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 14; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 13; Brennscheidt, Cloud Computing und Datenschutz, S. 50 f.; Karg, ZD 2012, 255 (256). 56 Bergt, ZD 2015, 365; Karg, DuD 2015, 520; Nink / Pohle, MMR 2015, 563. 54 Weichert,
I. Anwendbares Datenschutzrecht83
Am 12. Mai 2016 hat Generalanwalt Campos Sánchez-Bordona seine Schlussanträge58 zu dieser Frage veröffentlicht. Demnach vertritt er überwiegend einen absoluten Ansatz mit relativen Elementen. Eine Entscheidung des EuGH wird im Sommer 2016 erwartet.59 (aa) Theorie des absoluten (bzw. objektiven) Personenbezugs Nach der Theorie des absoluten (bzw. objektiven) Personenbezugs ist die Bestimmbarkeit einer Person dann gegeben, wenn die verantwortliche Stelle den Personenbezug mit Hilfe von der Allgemeinheit zur Verfügung stehenden Mitteln herstellen kann. Es wird nicht auf die Mittel abgestellt, die der verantwortlichen Stelle individuell zur Verfügung stehen, sondern auf objektive Maßstäbe. Dabei wird auch Zusatzwissen beachtet, das einem Dritten zur Verfügung steht, um die Personenbezogenheit herzustellen.60 Es soll dabei irrelevant sein, ob das Zusatzwissen auf legale Weise oder durch einen Gesetzesverstoß erlangt wurde.61 Die Theorie des absoluten Personenbezugs wird vor allem von den Datenschutzbehörden vertreten.62 Aus der Theorie des absoluten Personenbezugs folgt, dass bezogen auf dieselben Daten entweder für alle Stellen personenbezogene Daten vorliegen oder für keine Stelle. Es ist nicht möglich, dass dasselbe Datum für eine Stelle personenbezogen und für eine andere Stelle nicht personenbezogen ist.63
57 BGH, Beschluss vom 28.10.2014 – VI ZR 135 / 13, CR 2015, 109 ff. mit Anmerkungen von Schleipfer und Eckhardt. 58 Campos Sánchez-Bordona, Schlussanträge des Generalanwalts vom 12.05.2016 zur Rechtssache C-582 / 14. 59 Keppeler, CR 2016, 360 ff.; Schmechel, CR 2016, R63 f. 60 AG Berlin-Mitte, Urteil vom 27.03.2007 – 5 C 314 / 06, K&R 2007, 600 ff.; Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 13; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 66; Bergt, ZD 2015, 365 (367 f.); Forgó / Krügel, MMR 2010, 17 (18 f.); Karg, ZD 2012, 255 (256); PahlenBrandt, DuD 2008, 34 (37 ff.); Pahlen-Brandt, K&R 2008, 288 (289); Weichert, DuD 2007, 113 (115). 61 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 15; Pahlen-Brandt, K&R 2008, 288 (289 f.); a. A. Arning / Forgó / Krügel, DuD 2006, 700 (704 f.); Meyerdierks, MMR 2009, 8 (11). 62 Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 217 Rn. 20; Artikel-29-Datenschutzgruppe, WP 136, S. 17 f.; Eckhardt, CR 2011, 339 (341 ff.); Eckhardt / Kramer / Mester, DuD 2013, 623 (627); Karg, ZD 2012, 255 (256); ULD, FAQ: IP-Adressen und andere Nutzungsdaten. 63 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG § 3 Rn. 19; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 14.
84
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(bb) Theorie des relativen (bzw. subjektiven) Personenbezugs Die Theorie des relativen (bzw. subjektiven) Personenbezugs verfolgt den Ansatz, dass es bei der Frage, ob die verantwortliche Stelle den Personenbezug herstellen kann, allein auf die Kenntnisse und Möglichkeiten der verantwortlichen Stelle ankommt. Ein Personenbezug liegt dann vor, wenn die verantwortliche Stelle ein Datum mit den ihr üblicherweise zur Verfügung stehenden Mitteln und unter vernünftigem Aufwand einer Person zuordnen kann. Das Zusatzwissen Dritter bleibt nach der relativen Theorie bei der Beantwortung der Frage der Personenbezogenheit außer Betracht. Die relative Theorie wird von der (noch) überwiegenden Meinung64 und von der Rechtsprechung65 vertreten. Nach der Theorie des relativen Personenbezugs sind – im Gegensatz zur objektiven Theorie – Zusatzinformationen, die illegal durch Gesetzesverstöße erlangt wurden oder werden könnten, nicht zu berücksichtigen.66 Die Konsequenz aus der Theorie des relativen Personenbezugs ist, dass dieselben Daten für eine Stelle, die mit den ihr zur Verfügung stehenden Mitteln Daten mit einer Person verknüpfen kann, bestimmbar, für eine andere Stelle, die die Verknüpfung nicht herstellen kann, aber unbestimmbar sein können.67 (cc) Subjektive Theorie unter Einbezug von ohne großem Aufwand beziehbarem Zusatzwissen Eine vermittelnde Ansicht68 kombiniert sowohl relative als auch objektive Komponenten. Die Theorie des absoluten Personenbezugs gehe zu weit. 64 Gola / Schomerus, BDSG, § 3 Rn. 10; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 32; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 66; Bergt, ZD 2015, 365 (367 f.); Eckhardt, CR 2011, 339 (341 ff.); Eckhardt / Kramer / Mester, DuD 2013, 623 (627); Gerlach, CR 2013, 478 (479); Härting, ITRB 2009, 35 (37); Karg, ZD 2012, 255 (256); Kirchberg-Lennartz / Weber, DuD 2010, 479 (480 f.); Krüger / Maucher, MMR 2011 433, (436 ff.); Roßnagel / Scholz, MMR 2000, 721, (722 f.). 65 OLG Hamburg, Beschluss vom 03.11.2010 – 5 W 126 / 10, MMR 2011, 281 (282); LG Berlin, Urteil vom 31.01.2013 – 57 S 87 / 08, ZD 2013, 618 (619). 66 Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 26; Arning / Forgó / Krügel, DuD 2006, 700 (704 f.); Meyerdierks, MMR 2009, 8 (11); a. A. Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 15. 67 LG Berlin, Urteil vom 06.09.2007 – 23 S 3 / 07, MMR 2009, 799 (801); Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 19; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 13; Brennscheidt, Cloud Computing und Datenschutz, S. 51; Buchner, DuD 2013, 804; Krüger / Maucher, MMR 2011 433, (434). 68 Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 15; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 26, 32; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 13; Grenzer / Heitmüller, PinG 2014, 221 (226); Lutz, DuD 2012, 584 (587).
I. Anwendbares Datenschutzrecht85
Doch auf der anderen Seite greife es zu kurz, nur auf die Kenntnisse und Möglichkeiten der verarbeitenden Stelle abzustellen. Es soll ein Ausgleich zwischen den beiden gegensätzlichen Theorien erfolgen. Deshalb sollten bei der Frage nach der Bestimmbarkeit nicht nur die Kenntnisse und Möglichkeiten der verarbeitenden Stelle berücksichtigt werden, sondern darüber hinaus auch Zusatzwissen von dritten Personen, auf das die verarbeitende Stelle ohne großen Aufwand zugreifen kann. (dd) Stellungnahme Der Wortlaut von § 3 Abs. 1 BDSG spricht weder für die objektive noch für die subjektive Theorie. Auch Art. 2 lit. a) DS-RL bietet keinen Ansatzpunkt.69 Für die Anwendung der Theorie des absoluten Personenbezugs spricht die Auslegung von Satz 2 des Erwägungsgrundes 26 DS-RL, der besagt, dass alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.70 Dagegen lässt sich anführen, dass die Einbeziehung der Mittel Dritter nicht dazu führt, dass die Bestimmbarkeit bereits immer dann besteht, wenn irgendjemand zur Herstellung der Verbindung zwischen Daten und Person in der Lage ist. Man könnte das Merkmal „vernünftigerweise“ des Erwägungsgrundes 26 Satz 2 DS-RL auch so auslegen, dass damit gemeint ist, es seien nur die Mittel einzubeziehen, deren Einsatz nicht mit einem unverhältnismäßig großen Aufwand i. S. d. § 3 Abs. 6 BDSG verbunden ist.71 § 3 Abs. 6 BDSG fordert für eine faktische Anonymisierung (2. Variante), dass die Einzelangaben nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können. Diese Formulierung ergibt aber nur dann Sinn, wenn das BDSG eine relative Anonymisierung anerkennt und nicht davon ausgeht, dass bei jeglicher faktischen Anonymisierung durch das Zusatzwis69 So auch Spindler / Nink, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, § 11 TMG Rn. 8; Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 293; Brink / Eckhardt, ZD 2015, 205 (207); Kroschwald, ZD 2014, 75 (76); Krüger / Maucher, MMR 2011 433, (434); Meyerdierks, MMR 2009, 8 (10); Specht / Müller-Riemenschneider, ZD 2014, 71 (73). 70 Brennscheidt, Cloud Computing und Datenschutz, S. 51; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 66; Buchner, DuD 2013, 804; Forgó / Krügel, MMR 2010, 17 (18); Pahlen-Brandt, DuD 2008, 34 (38); Specht / Müller-Riemenschneider, ZD 2014, 71 (73 f.). 71 So auch Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 24; Artikel-29-Datenschutzgruppe, WP 136, S. 16 f.
86
C. Auslagerung von Kunden- und Personaldaten in die Cloud
sen Dritter für alle Stellen personenbezogene Daten vorliegen.72 Auch die DS-RL kennt ein Anonymisieren. In Erwägungsgrund 26 Satz 3 DS-RL steht, dass „[d]ie Schutzprinzipien […] keine Anwendung [finden] auf Daten, die derart anonymisiert sind, da[ss] die betroffene Person nicht mehr identifizierbar ist.“ In seinem Beschluss73 geht auch der BGH davon aus, dass der relative Ansatz nicht in Widerspruch zu Erwägungsgrund 26 D S-RL steht. Die Möglichkeit einer Übermittlung von Daten in anonymisierter Form in § 30 BDSG spricht im Rahmen einer systematischen Auslegung für die Theorie des relativen Personenbezugs. § 30 BDSG sieht eine Übermittlung von Daten in anonymisierter Form vor. Die verantwortliche Stelle, die die Übermittlung vornimmt, verfügt dabei allerdings über die Mittel zur Zusammenführung der Daten mit den Identifizierungsdaten. Folgte man der Theorie des absoluten Personenbezugs, wäre wiederum eine Übermittlung anonymisierter Daten unter Beibehaltung der Anonymität nicht möglich, da der empfangenden Stelle die Mittel der sendenden Stelle zur Herstellung des Personenbezugs zugerechnet würden.74 Vertreter der Theorie des absoluten Personenbezugs meinen, dass die absolute Theorie Einzelfallentscheidungen und damit zusammenhängend Beliebigkeit und Rechtsunsicherheit verhindere.75 Bei genauerer Betrachtung schafft die Theorie des absoluten Personenbezugs für die verantwortliche Stelle nicht Rechtssicherheit, sondern bewirkt eher das Gegenteil. Um bestimmen zu können, ob sie gerade personenbezogene Daten verarbeitet, und damit, ob die vorliegenden Daten den Regelungen des BDSG unterliegen, müsste die verantwortliche Stelle wissen, ob möglicherweise ein Dritter Informationen hat, die die vorliegenden Daten personenbeziehbar machen. Über dieses Wissen verfügt die verantwortliche Stelle selten. Die Theorie des relativen Personenbezugs bezieht sich dagegen nur auf die Informationen, die die verantwortliche Stelle selbst besitzt. Die verantwortliche Stelle kann somit gut einschätzen, ob sie einen Personenbezug der vorliegenden Daten herstellen kann oder nicht. Die verantwortliche Stelle weiß dann ganz genau, ob die Daten einen Personenbezug aufweisen und somit den Rege72 So auch Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 19; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 23; Meyerdierks, MMR 2009, 8 (10); Specht / Müller-Riemenschneider, ZD 2014, 71 (73). 73 BGH, Beschluss vom 28.10.2014 – VI ZR 135 / 13, CR 2015, 109 ff. Rn. 28. 74 So auch Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 32; Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 217 Rn. 22; Meyer dierks, MMR 2009, 8 (10); a. A. Bergt, ZD 2015, 365 (369). 75 Brennscheidt, Cloud Computing und Datenschutz, S. 51; Forgó / Krügel, MMR 2010, 17 (18); Pahlen-Brandt, DuD 2008, 34.
I. Anwendbares Datenschutzrecht87
lungen des BDSG unterliegen. Für die verantwortliche Stelle trägt die relative Theorie zur Erhöhung der Rechtssicherheit bei.76 Nach Meinung der Vertreter der Theorie des absoluten Personenbezugs könne es nur dann keine Schutzlücken geben, wenn personenbezogene Daten für alle Stellen vorliegen, wenn irgendeine Stelle den Personenbezug herstellen kann. Bei der relativen Theorie käme es zu Schutzlücken, die aufgrund der Bedeutung des Rechts auf informationelle Selbstbestimmung der Betroffenen nicht hinnehmbar wären.77 Das Verständnis des Merkmals der Bestimmbarkeit geht bei der Theorie des absoluten Personenbezugs zu weit. Bei einem derartig weiten Verständnis von Bestimmbarkeit unterlägen nahezu alle Daten dem BDSG. Auch unterfielen dem Anwendungsbereich des BDSG dann Daten, bei deren Verarbeitung keine Gefahr für die informationelle Selbstbestimmung des Betroffenen bestünde.78 Es würden also Daten um ihretwillen geschützt und gerade nicht aus Gründen des Persönlichkeitsschutzes. Dies ginge über den Zweck des BDSG hinaus, der nicht Schutz von Daten, sondern Schutz der Betroffenen vor unerlaubten Datenverarbeitungsvorgängen ist.79 Auch dem Argument der absoluten Theorie, es entstünden bei Anwendung der relativen Theorie Schutzlücken, ist entgegenzuhalten, dass immer dann, wenn für die verantwortliche Stelle personenbezogene Daten vorliegen, das BDSG Anwendung findet und somit keine Schutzlücke vorhanden ist. Liegen dagegen bei der verantwortlichen Stelle keine personenbezogenen Daten vor, besteht auch bei Erhebung, Verarbeitung oder Nutzung dieser Daten durch die verantwortliche Stelle keine Gefahr für das Recht auf informationelle Selbstbestimmung der Betroffenen.80 Der Sinn und Zweck des BDSG ist es nicht, personenbezogene Daten um ihretwillen zu schützen, sondern den Betroffenen vor den Auswirkungen zu bewahren, die entstehen können, wenn dritte Stellen Zugriff auf die perso76 So auch Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 217 f. Rn. 22; Spindler / Nink, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien, § 11 TMG Rn. 8; Brink / Eckhardt, ZD 2015, 205 (206). 77 Brink / Eckhardt, ZD 2015, 205 (206); Grenzer / Heitmüller, PinG 2014, 221 (226); Pahlen-Brandt, K&R 2008, 288. 78 So auch LG Berlin, Urteil vom 31.01.2013 – 57 S 87 / 08, ZD 2013, 618 (619); Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 14; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 66; Brink / Eckhardt, ZD 2015, 205 (207); Eckhardt, CR 2011, 339 (342); Härting, ITRB 2009, 35 (37); Krüger / Maucher, MMR 2011, 433 (438); Opfermann, ZEuS 2012, 121 (132). 79 So auch Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 66; Eckhardt, CR 2011, 339 (342); Specht / Müller-Riemenschneider, ZD 2014, 71 (73). 80 So auch Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 295.
88
C. Auslagerung von Kunden- und Personaldaten in die Cloud
nenbezogenen Daten des Betroffenen haben.81 Daten zu schützen, welche für die verantwortliche Stelle nicht personenbezogen sind, sondern nur für einen Dritten, würde den Schutz der Betroffenen zu weit ausdehnen. Man bräuchte gar nicht den Anwendungsbereich des BDSG eingrenzen, da sowieso aufgrund des weiten Bestimmtheitsbegriffs des Personenbezugs von Daten die meisten der Daten personenbezogen wären. Allein auf das Wissen der verantwortlichen Stelle abzustellen, greift aber auch zu kurz. Die verantwortliche Stelle könnte sehr rasch durch Hinzuziehen von Informationen Dritter einen Personenbezug herstellen. Deswegen sollte das Zusatzwissen von Dritten, das die verantwortliche Stelle unter verhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft erlangen könnte, bei der Bestimmung des Personenbezugs eines Datums einbezogen werden. Diese Sicht führt auch zu keiner Rechtsunsicherheit, da die verantwortliche Stelle selbst am besten einschätzen kann, auf welche Informationen Dritter sie Zugriff hat.82 Der Personenbezug von Daten bestimmt sich daher danach, ob die verantwortliche Stelle selbst über die Informationen zur Herstellung des Personenbezugs verfügt oder ob sie mit den Informationen von Dritten, die sie unter verhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft erlangen kann, den Personenbezug herstellen kann. Eine derart vermittelnde Sichtweise dürfte auch im Einklang mit dem Erwägungsgrund 26 DS-RL stehen.83 Zu untersuchen ist im Folgenden, ob durch eine Anonymisierung der Personenbezug von Daten entfallen kann. (ee) Anonymisieren und Pseudonymisieren Ein Anonymisieren gem. § 3 Abs. 6 BDSG liegt vor, wenn personenbezogene Daten derart verändert werden, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können. Ein Anonymisieren erfolgt, wenn die Einzelangaben keiner Person mehr zugeordnet werden können (1. Variante). Anonymisieren ist aber auch gegeben, wenn es eines unverhältnismäßig großen Aufwandes bedarf, um einen Personenbezug herzustellen, selbst wenn der Personenbezug nicht gänzlich beseitigt wurde (2. Variante).84 81 Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 8; Brink / Eckhardt, ZD 2015, 205 (208). 82 So auch Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 218 f. Rn. 24 ff. 83 So auch Brink / Eckhardt, ZD 2015, 205 (210 f.). 84 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 67; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 58 f.; Giedke, Cloud Computing: Eine wirt-
I. Anwendbares Datenschutzrecht89
Der Gesetzgeber hat im BDSG nicht ausdrücklich geregelt, dass das BDSG bei der Erhebung, Verarbeitung oder Nutzung von anonymisierten Daten nicht anwendbar sein soll, aber die überwiegende Ansicht85 geht davon aus. Dies ist nur konsequent, wenn man – wie hier – nicht der Theorie des absoluten Personenbezugs folgt. Können anonymisierte Daten nur mit unverhältnismäßig großem Aufwand durch die verarbeitende Stelle re identifiziert werden, dann liegt gerade keine Bestimmbarkeit vor und damit keine personenbezogenen Daten.86 Pseudonymisieren ist gem. § 3 Abs. 6a BDSG das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Der Übergang von Anonymisieren zu Pseudonymisieren ist fließend.87 Ein klassisches Beispiel von Pseudonymisieren ist das Ersetzen der Namen von Prüflingen beim Aushängen der Ergebnisse durch Kennziffern.88 Pseudonymisierte Daten unterfallen im Gegensatz zu anonymisierten Daten dem BDSG. Allerdings kann durch ein Pseudonymisieren die Herstellung eines Personenbezugs derart erschwert werden, dass ein Schutzniveau erreicht wird, das z. B. eine Datenübermittlung gestattet.89 Es fragt sich, ob durch die Verschlüsselung von Daten ein Anonymisieren oder ein Pseudonymisieren stattfindet. Nur wenn ein Anonymisieren stattfindet, kann durch den Einsatz von Verschlüsselungstechniken ein Personenbezug der Kunden- und Personaldaten verhindert werden. Lägen bei verschlüsselten Daten keine personenbezogenen Daten mehr vor, wäre auch das BDSG nicht anwendbar und ein Transfer von verschlüsselten Daten an einen Cloud-Anbieter datenschutzrechtlich gesehen unproblematisch möglich.
schaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 193; Bergt, ZD 2015, 365; Härting, NJW 2013, 2065. 85 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 49; Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 66; Heidrich / Wegener, in: Forgó / Helfrich / Schneider (Hrsg.), Betrieblicher Datenschutz, S. 484 f. Rn. 34; Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 193; Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 24; Bergt, ZD 2015, 365; Heidrich / Wegener, MMR 2010, 803 (806); Kroschwald, ZD 2014, 75 (77); Splittgerber / Rockstroh, BB 2011, 2179 (2180); Weichert, DuD 2010, 679 (681); a. A. Wagner / Blaufuß, BB 2012, 1751. 86 So auch Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 44. 87 Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 47; Splittgerber / Rockstroh, BB 2011, 2179 (2181). 88 Härting, NJW 2013, 2065 (2066). 89 Splittgerber / Rockstroh, BB 2011, 2179 (2181); Stiemerling / Hartung, CR 2012, 60 (63); Weichert, DuD 2010, 679 (681 f.).
90
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(ff) Auswirkungen durch Verschlüsselung Als Verschlüsselung wird die Umwandlung eines klar lesbaren Textes (Klartext) – oder auch Informationen anderer Art, wie Ton- und Bildaufzeichnungen – in eine unleserliche Zeichenfolge (Geheimtext) mit Hilfe eines Verschlüsselungsverfahrens (Kryptosystem) bezeichnet. Zur Verschlüsselung werden dabei ein oder auch mehrere Schlüssel verwendet.90 Bei einer Verschlüsselung werden die Daten, die zunächst personenbezogen sind, verändert. In diesem Kontext fallen die Begriffe Anonymisieren und Pseudonymisieren.91 Es fragt sich, ob durch die Verschlüsselung die ursprünglich personenbezogenen Daten anonymisiert werden und somit aus dem Anwendungsbereich des BDSG fallen oder ob „nur“ ein Pseudonymisieren vorliegt. Die Antwort auf diese Frage hängt davon ab, welcher Theorie des Personenbezugs gefolgt wird. Folgt man der – in dieser Untersuchung nicht vertretenen – Theorie des absoluten Personenbezugs, wird man in der Verschlüsselung nur ein Pseudo nymisieren sehen können. Eine Anonymisierung setzt voraus, dass es sich bei anonymisierten Daten nicht mehr um personenbezogene Daten handelt, also um Daten, bei denen nicht mehr oder nur mit unverhältnismäßig großem Aufwand der Personenbezug wieder hergestellt werden kann. Die absolute Theorie des Personenbezugs ist der Ansicht, dass die verantwortliche Stelle das Wissen über den Verschlüsselungsschlüssel erlangen könnte und somit die verschlüsselten Daten wieder zu personenbezogenen Daten würden. Das Kriterium des Personenbezugs wäre an ein unsicheres Kriterium geknüpft. Verschlüsselung könne demnach nur eine technisch-organisatorische Maßnahme sein, sie ändere aber nichts an der datenschutzrechtlichen Qualifikation der Daten.92 So nimmt auch die Artikel-29-Datenschutzgruppe – eine beratende und unabhängige Instanz, die aufgrund Art. 29 DS-RL eingesetzt wurde – an, dass die Verschlüsselung von Daten eine Pseudonymisierung ist.93 Auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder ist der Ansicht, dass der Personenbezug von Daten regelmäßig durch die Verschlüsselung nicht entfalle.94
90 Kast, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 1074 f. Rn. 1. 91 Stiemerling / Hartung, CR 2012, 60 (63). 92 Brennscheidt, Cloud Computing und Datenschutz, S. 51 f.; Härting, NJW 2013, 2065 (2066); Spies, MMR-Aktuell 2011, 313727. 93 Artikel-29-Datenschutzgruppe, WP 136, S. 21; Artikel-29-Datenschutzgruppe, WP 196, S. 18. 94 DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 12.
I. Anwendbares Datenschutzrecht91
Dagegen gelangt die Theorie des relativen Personenbezugs und die vermittelnde Ansicht – der in dieser Untersuchung gefolgt wird – zu dem Ergebnis, dass es sich bei verschlüsselten Daten für diejenigen Stellen, die den Schlüssel nicht kennen, um anonymisierte Daten handelt, die nicht mehr personenbezogen sind.95 Für Stellen dagegen, die den Schlüssel kennen, sind die verschlüsselten Daten lediglich pseudonymisiert und somit weiterhin personenbezogene Daten.96 Die Personenbezogenheit der verschlüsselten Daten kann aber dann wieder aufleben, wenn der Schlüssel geknackt wurde.97 Deswegen muss die Verschlüsselung dem neuesten Stand der Technik entsprechen und es ist ein hoher Grad der Verschlüsselung notwendig.98 Enthalten Dateinamen personenbezogene Daten, müssen auch diese verschlüsselt werden.99 Grundsätzlich kann die Verschlüsselung von personenbezogenen Daten genutzt werden, um die Anwendbarkeit des BDSG auszuschließen.100 Dies gilt aber nur unter folgenden Voraussetzungen101: Der Cloud-Kunde muss den Schlüssel für die Verschlüsselung selbst erstellt haben und darf nur alleinigen Zugriff auf den Schlüssel haben. Der Cloud-Anbieter darf den Schlüssel nicht kennen. Außerdem muss die Verschlüsselung unabhängig vom Cloud-Anbieter stattfinden und ausschließlich unter der Kontrolle des Cloud-Nutzers stehen. 95 Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 23; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 404 f. Rn. 5; Brennscheidt, Cloud Computing und Datenschutz, S. 51; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 67; Heidrich / Wegener, MMR 2010, 803 (806); Kroschwald, ZD 2014, 75 (77); Splittgerber / Rockstroh, BB 2011, 2179 (2181); Stiemerling / Hartung, CR 2012, 60 (65). 96 Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Comput ing, S. 404 f. Rn. 5; Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 299; Buchner, DuD 2013, 804; Kroschwald, ZD 2014, 75 (77). 97 Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 68; Splittgerber / Rockstroh, BB 2011, 2179 (2181). 98 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 196; Splittgerber / Rockstroh, BB 2011, 2179 (2181); a. A. Kroschwald, ZD 2014, 75 (79), der fordert, dass die Verschlüsselung dem „Stand von Wissenschaft und Technik“ entsprechen müsse; a. A. Pordesch / Steidle, DuD 2015, 536 ff., die der Meinung sind, dass eine Auslagerung verschlüsselter Daten an einen externen Anbieter mit den derzeit üblicherweise benutzten Verschlüsselungswerkzeugen nicht rechtssicher möglich ist. 99 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 196. 100 Einschränkend Hennrich, Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz, S. 138 ff.; a. A. Brennscheidt, Cloud Computing und Datenschutz, S. 51 ff.; Opfermann, ZEuS 2012, 121 (132). 101 Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 25 f.; Kalabis / Kunz / Wolf, DuD 2013, 512 (513).
92
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(gg) Verschlüsselung im Rahmen von SaaS-Diensten Es fragt sich, ob die oben genannten Anforderungen an die Verschlüsselung im Rahmen von SaaS-Diensten, die u. a. zur Auslagerung von Kundenund Personaldaten genutzt werden, erfüllt werden können. SaaS-Dienste sind darauf ausgelegt, dass mit den übertragenen Daten gearbeitet werden kann. Die Daten können nicht wie im Rahmen einer Black-Box Lösung102 als Backup auf den Servern des Cloud-Anbieters gesichert werden. Derzeit gibt es aber noch keine Verschlüsselungsmethode, bei der die verschlüsselten Daten direkt bearbeitet werden können, ohne die Daten vorher entschlüsseln zu müssen. Die sog. „Fully Homomorphic Encryption“ kann eine Verarbeitung verschlüsselter Daten bewerkstelligen, die Forschung steht aber noch am Anfang. Eine baldige Marktreife ist nicht wahrscheinlich.103 Es gibt derzeit kein Verfahren im Rahmen von SaaS-Diensten, bei dem der Cloud-Anbieter nicht den Schlüssel für die Daten braucht, um sie dem Kunden fachgerecht aufbereiten zu können.104 Wenn der Cloud-Anbieter aber den Schlüssel kennt, dann liegen bei den transferierten Daten auch für diesen personenbezogene Daten vor. Somit kann auf den Servern des Cloud-Anbieters – auch wenn die personenbezogenen Daten vor dem Transport verschlüsselt werden – nur mit den unverschlüsselten Daten gearbeitet werden. Der Cloud-Anbieter muss dafür den Schlüssel kennen. Unabhängig davon, welcher Theorie des Personenbezugs man folgt, liegen für den Cloud-Anbieter personenbezogene Daten vor. Die Anwendbarkeit des BDSG im Rahmen von SaaS-Diensten zur Auslagerung von Kunden- und Personaldaten kann derzeit (noch) nicht durch eine Verschlüsselung der Daten ausgeschlossen werden.
102 Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 67; Heidrich / Wegener, in: Forgó / Helfrich / Schneider (Hrsg.), Betrieblicher Datenschutz, S. 487 f. Rn. 43; Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 299; Heidrich / Wegener, MMR 2010, 803 (806); Kroschwald, ZD 2014, 75 (78). 103 Heidrich / Wegener, in: Forgó / Helfrich / Schneider (Hrsg.), Betrieblicher Datenschutz, S. 485 Rn. 36; Hennrich, Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz, S. 143 f.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 67; Heidrich / Wegener, MMR 2010, 803 (806 f.); Paulus, DuD 2011, 317 (319); Schwan, Voll homomorphe Verschlüsselung in der Cloud; Splittgerber / Rockstroh, BB 2011, 2179 (2181); Stiemerling / Hartung, CR 2012, 60 (61 f.); Wagner / Blaufuß, BB 2012, 1751. 104 Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 301; Stiemerling / Hartung, CR 2012, 60 (62).
I. Anwendbares Datenschutzrecht93
(hh) Entfallen des Personenbezugs durch Einsatz der „Sealed Cloud“ Ein Ansatz, der den Personenbezug auch bei der Nutzung eines SaaSDienstes entfallen lassen könnte, ist die Nutzung der sog. „Sealed Cloud“105. Ziel dieses „Versiegelungsansatzes“ ist das Herstellen von Betreibersicherheit. Technische Maßnahmen sollen verhindern, dass sowohl Dritte als auch die Mitarbeiter des Cloud-Anbieters Zugriff auf die personenbezogenen Daten des Cloud-Nutzers haben. Die Infrastruktur der Sealed Cloud lässt sich in zwei Komponenten unterteilen: in eine reguläre Cloud-Infrastruktur, in der die Daten der Cloud-Nutzer verschlüsselt gespeichert werden, und in den sog. „Application Server“, einen flüchtigen Speicher, in dem die Daten der Cloud-Nutzer im unverschlüsselten Zustand bearbeitet werden.106 Das Konzept der Sealed Cloud funktioniert folgendermaßen: Der Cloud-Nutzer gibt die personenbezogenen Daten seiner Kunden bzw. Arbeitnehmer im Browserfenster in eine Maske des Sealed Cloud-Anbieters ein. Dort werden die Daten für den Transport zum Cloud-Anbieter verschlüsselt. Beim CloudAnbieter werden die Daten im Application Server entschlüsselt. Der CloudNutzer kann die Daten bearbeiten, solange sie sich im Application Server befinden. Hat der Cloud-Nutzer die Arbeit an seinen Daten abgeschlossen, werden sie im Application Server mit einem Schlüssel verschlüsselt, der aus den Nutzerdaten des Cloud-Nutzers im Wege einer Einwegverschlüsselung generiert wird und den der Cloud-Anbieter nicht kennt. Der Schlüssel wird verschlüsselt in einer Datenbank außerhalb des Application Server auf der gewöhnlichen Cloud-Infrastruktur gespeichert. Die Daten des Cloud-Nutzers werden ebenfalls verschlüsselt in sog. „Privacy Boxen“ auf der CloudInfrastruktur verschoben. Benötigt der Cloud-Nutzer seine Daten, werden sowohl die verschlüsselten Daten als auch der verschlüsselte Schlüssel erneut in den Application Server geladen, wo die Daten entschlüsselt werden und dann entschlüsselt vom Cloud-Nutzer bearbeitet werden können.107 Die personenbezogenen Daten des Cloud-Nutzers liegen nur dann unverschlüsselt vor und können somit unbefugt kopiert werden, wenn sie im Application Server liegen. Beim Sealed Cloud-Ansatz garantiert der CloudAnbieter aber durch technische Maßnahmen, dass selbst die eigenen Mitar105 http: // www.sealedcloud.de.
106 Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 97; Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 301 f. 107 Im Detail Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 97 ff.; Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 302 ff.
94
C. Auslagerung von Kunden- und Personaldaten in die Cloud
beiter nicht auf die entschlüsselten Daten im Application Server zugreifen können. Zum einen werden die Serverschränke des Application Server durch Maßnahmen der Perimetersicherheit, wie z. B. Kameras und elektromechanische Serverschlösser, geschützt. Zum anderen gibt es eine Softwarevorkehrung, die aktiviert wird, wenn ein Mitarbeiter auf den Application Server zugreifen möchte: Die Daten, die sich zu diesem Zeitpunkt im Application Server befinden, werden zurück in die Privacy Boxen geschrieben. Anschließend findet ein „Clean up“ statt, d. h. alle im Application Server befindlichen Daten werden unwiderruflich gelöscht und der Application Server wird auf seine Werkseinstellungen zurückgesetzt. Dann wird die Stromzufuhr zum Application Server gekappt. Erst nach Treffen dieser Vorkehrungen öffnen sich die Serverschränke automatisch und der Mitarbeiter kann Wartungsarbeiten am Application Server durchführen. Für den Nachweis, dass der Cloud-Anbieter derartige Sicherheitsmaßnahmen trifft, werden unabhängige Prüfer eingesetzt, die die Mechanismen kontrollieren und zertifizieren.108 Es ist für eine datenschutzrechtliche Betrachtung von Bedeutung, ob das Konzept der Sealed Cloud dazu führt, dass es sich bei den Daten, die nur im Application Server unverschlüsselt vorliegen und auf die dort der CloudAnbieter aufgrund der Sicherheitsvorkehrungen nicht zugreifen kann, immer noch um personenbezogene Daten i. S. v. § 3 Abs. 1 BDSG handelt. Dies wäre dann nicht der Fall, wenn auf die Daten nicht mehr oder nur mit unverhältnismäßigem Aufwand zugegriffen werden könnte. Die personenbezogenen Daten liegen jedenfalls im Application Server unverschlüsselt und unverändert vor. Daher kommt der Ausschluss der Anwendbarkeit des BDSG durch eine Anonymisierung nach § 3 Abs. 6 BDSG nicht in Betracht. Jedoch hat das Konzept der Sealed Cloud letztlich die gleiche Wirkung wie eine Anonymisierung: Dritte Personen und sogar der Cloud-Anbieter können aufgrund der getroffenen technischen Maßnahmen nicht auf die Daten des Cloud-Nutzers zugreifen, solange sie in entschlüsselter Form im Application Server vorliegen. In den Privacy Boxen liegen aufgrund der Verschlüsselung der Daten sowieso keine personenbezogenen Daten mehr vor. Der Einsatz der Sealed Cloud führt somit zur Nichtgeltung des BDSG, da die übertragenen Daten in der Sealed Cloud keine personenbezogenen Daten i. S. v. § 3 Abs. 1 BDSG sind.109 108 Im Detail Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 97 ff.; Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 302 ff. 109 So auch Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 100 ff.
I. Anwendbares Datenschutzrecht95
Obwohl das Sealed Cloud-Konzept die Anwendbarkeit des BDSG ausschließen kann, ist dies bisher nur das Konzept eines Unternehmens, das vom Bundesministerium für Wirtschaft und Technologie gefördert wurde. Das Konzept ist noch nicht weit verbreitet und noch nicht für alle möglichen Anwendungsbereiche eines SaaS-Dienstes vorhanden. (c) Kunden- und Personaldaten als bestimmte bzw. bestimmbare Daten Bei Kunden- und Personaldaten des Unternehmens ist der Personenbezug bestimmt. Bei der Nutzung von Kunden- bzw. Personalnummern ist der Personenbezug bestimmbar, da das Unternehmen eine Verknüpfung zwischen Kunden- bzw. Personalnummer und Identität der jeweiligen Person herstellen kann.110 Durch den Einsatz von Verschlüsselung ohne Bekanntgabe des Schlüssels gegenüber dem Cloud-Anbieter kann die Anwendbarkeit des BDSG ausgeschlossen werden. Die Verschlüsselung bietet sich aber nur für Backup-Daten an, da ein Arbeiten mit verschlüsselten Daten derzeit (noch) nicht möglich ist. Zwar wird daran geforscht (sog. „Fully Homomorphic Encryption“), aber bis zu einem praktischen Einsatz können noch Jahre vergehen. Der Sealed Cloud-Ansatz ist ein Konzept, um auch im Rahmen von SaaS-Diensten die Anwendbarkeit des BDSG auszuschließen. Dieses Konzept ist aber (noch) nicht weit verbreitet. (3) Besondere Arten personenbezogener Daten Von „gewöhnlichen“ personenbezogenen Daten sind besondere Arten personenbezogener Daten zu unterscheiden. Besondere Arten personenbezogener Daten sind in § 3 Abs. 9 BDSG definiert. Diese Daten werden auch sensitive oder sensible Daten genannt.111 Darunter fallen gem. § 3 Abs. 9 BDSG Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Der Katalog der in § 3 Abs. 9 BDSG genannten Angaben ist abschließend. Liegen besondere Arten personenbezogener Daten vor, hat das Konsequenzen für den Umgang mit diesen Daten. So gilt für eine Übermittlung besonderer Arten personenbezogener Daten bei nicht-öffentlichen Stellen für eigene Geschäftszwecke beispielsweise nicht § 28 Abs. 1 BDSG, son110 Eßer,
in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 16. in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 84; Simitis, in: Simitis (Hrsg.), BDSG, § 3 Rn. 250; Schüßler / Zöll, DuD 2013, 639 (642). 111 Eßer,
96
C. Auslagerung von Kunden- und Personaldaten in die Cloud
dern es gibt Sonderregelungen in § 28 Abs. 6 bis 9 BDSG.112 Die Einwilligung für den Umgang mit besonderen Arten personenbezogener Daten ist ausdrücklich in § 4a Abs. 3 BDSG geregelt. Ob ein Unternehmen bei der Verarbeitung von Kundendaten mit besonderen Arten personenbezogener Daten zu tun hat, kommt auf die Branche an. Dagegen liegen bei dem Umgang mit Personaldaten sensitive Daten vor. In der Personalakte können Angaben über die Religionszugehörigkeit stehen. Diese Angaben sind für Unternehmen notwendig, um die Kirchensteuer abführen zu können. Außerdem stehen in der Personalakte Vermerke über Krankheitstage. Auch ist die Schwerbehinderteneigenschaft von Arbeitnehmern häufig in der Personalakte vermerkt, weil der Arbeitgeber Pflichten, u. a. aus §§ 81 ff. SGB IX, gegenüber schwerbehinderten Arbeitnehmern hat.113 (4) Aufspaltung (Fragmentierung) der personenbezogenen Daten Durch den Einsatz der Virtualisierungstechnologie durch den Cloud-Anbieter ist es möglich, dass die ausgelagerten personenbezogenen Daten eines Unternehmens auf mehrere Server aufgeteilt werden. Die personenbezogenen Daten der Kunden bzw. der Arbeitnehmer liegen dann nicht nur auf einem Server, sondern verteilt auf mehreren Servern des Cloud-Anbieters. Die Aufteilung kann sogar derart erfolgen, dass auf einem physischen (nicht virtuellen!) Server des Cloud-Anbieters nur noch ein Fragment der Daten eines Kunden bzw. Arbeitnehmers liegt. Würde man dann nur diesen einen Server betrachten, der beispielsweise nur einen Teil des Namens des Kunden enthält, lägen aufgrund der Fragmentierung überhaupt keine personenbezogenen Daten mehr vor. Da der Cloud-Anbieter jedoch den Algorithmus für die Verteilung der Daten auf die diversen Server kontrolliert, kann er auch veranlassen, dass die fragmentierten Daten wieder lesbar zusammengefügt werden. Daher liegen auch dann personenbezogene Daten vor, wenn diese eigentlich zu einem bestimmten Zeitpunkt derart auf verschiedenen Servern verteilt sind, dass die verteilten Daten an sich nicht mehr personenbezogen sind.114 112 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 146; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 207 f.; Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 146; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 238 ff. 113 Conrad, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 1591 Rn. 198; Grützmacher, ITRB 2007, 183 (184); Jandt / Nebel, NJW 2013, 1570 (1571); Wybitul / Rauer, ZD 2012, 160 (162). 114 So auch Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 175 ff.; Nägele / Jacobs, ZUM 2010, 281, (289 f.); Spies, MMR 2009, Heft 5, XI.
I. Anwendbares Datenschutzrecht97
(5) Natürliche Person Das BDSG ist grundsätzlich gem. § 3 Abs. 1 BDSG nur dann auf die Verwendung von personenbezogenen Daten durch Dritte anwendbar, wenn der Betroffene eine natürliche Person ist. Es gibt Sonderfälle, in denen auch Daten einer juristischen Person auf natürliche Personen „durchschlagen“ können. Dies ist dann der Fall, wenn eine juristische Person eine enge Verflechtung mit den hinter der juristischen Person stehenden natürlichen Personen aufweist, wie z. B. bei einer Ein-Personen-GmbH.115 Personaldaten beziehen sich stets auf natürliche Personen; die Personen werden als Betroffene durch das BDSG geschützt. Bei den Kunden dagegen muss unterschieden werden: Einzelpersonen als Kunden werden geschützt. Bei Kunden, die juristische Personen sind, muss dagegen darauf abgestellt werden, ob eine enge Verflechtung mit den hinter der juristischen Person stehenden natürlichen Personen vorliegt. Ist eine enge Verflechtung gegeben, fallen die juristischen Personen in den Schutzbereich des BDSG. Ist keine enge Verflechtung gegeben, werden die juristischen Personen auch nicht von dem Schutzbereich des BDSG erfasst. bb) Erhebung, Verarbeitung und Nutzung Das BDSG findet nur Anwendung, wenn personenbezogene Daten gem. § 1 Abs. 2 BDSG erhoben, verarbeitet oder genutzt werden. (1) Erhebung Das Erheben von Daten spielt für die Frage, ob es zulässig ist, Kundenbzw. Personaldaten datenschutzkonform in die Cloud auszulagern, keine Rolle. Erheben ist gem. § 3 Abs. 3 BDSG das Beschaffen von Daten über den Betroffenen. Damit ist gemeint, dass die Stelle Kenntnis von den Daten und / oder Verfügungsmacht über die Daten erlangt.116 Es ist dabei nicht relevant, auf welche Weise, ob mündlich oder schriftlich, die Stelle die Daten beschafft;117 Voraussetzung ist ein aktives zielgerichtetes Tun.118 115 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 24; Gola / Schomerus, BDSG, § 3 Rn. 11a; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 11. 116 Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 102; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 25. 117 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 30; Gola / Schomerus, BDSG, § 3 Rn. 24; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 105; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 25. 118 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 30 f.; Gola / Schomerus, BDSG, § 3 Rn. 24; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 102; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 26.
98
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Der Vorgang des Erhebens soll hier nicht näher betrachtet werden, da beim Erheben der Daten von den Kunden bzw. Arbeitnehmern durch ein Unternehmen noch kein Datentransfer an den Cloud-Anbieter stattfindet. (2) Verarbeitung Der Vorgang der Verarbeitung kann nach § 3 Abs. 4 Satz 1 BDSG in fünf Phasen untergliedert werden: Speichern, Verändern, Übermitteln, Sperren und Löschen. Nach Art. 2 lit. b) DS-RL und Art. 4 Nr. 2 DS-GVO dagegen unterfallen dem Verarbeitungsbegriff alle Formen des Datenumgangs, d. h. die Erhebung, die Verarbeitung und die Nutzung von personenbezogenen Daten.119 Das Speichern der Daten ist für die Frage nach der datenschutzkonformen Auslagerung der Daten in die Cloud ebenso wenig von Bedeutung wie das Erheben. Speichern ist gem. § 3 Abs. 4 Satz 2 Nr. 1 BDSG das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung. Speichern ist die Fixierung von erhobenen Daten.120 Die Fixierung erfolgt auf einem Medium. Es fällt jedes Medium darunter, das geeignet ist, Daten zu erfassen oder aufzunehmen (von der Karteikarte bis hin zu mobilen Speicherchips)121.122 Die Fixierung muss „zum Zweck ihrer weiteren Verarbeitung oder Nutzung erfolgen“. Die praktische Bedeutung dieses Tatbestandsmerkmals ist allerdings gering, da Daten in der Praxis gewöhnlich nur dann gespeichert werden, wenn sie weiter verarbeitet oder genutzt werden sollen.123 Die Phase des Veränderns ist bezüglich der Auslagerung der Daten in die Cloud nicht relevant. Verändern ist gem. § 3 Abs. 4 Satz 2 Nr. 2 BDSG das inhaltliche Umgestalten gespeicherter personenbezogener Daten. Das Anonymisieren von Daten ist keine Veränderung, auch wenn § 3 Abs. 6 BSDG von „Verändern“ spricht.124 119 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 28; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 34; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 27; Petri, ZD 2015, 305 (306). 120 Gola / Schomerus, BDSG, § 3 Rn. 27; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 120. 121 Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 28. 122 Gola / Schomerus, BDSG, § 3 Rn. 26. 123 Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 120; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 29. 124 Gola / Schomerus, BDSG, § 3 Rn. 31; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 129; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 33; a. A. Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 35.
I. Anwendbares Datenschutzrecht99
Ein Übermitteln von personenbezogenen Daten liegt bei der Auslagerung der Kunden- bzw. Personaldaten vor, wenn der Cloud-Anbieter Dritter i. S. d. § 3 Abs. 8 Satz 2 BDSG ist. Übermitteln ist gem. § 3 Abs. 4 Satz 2 Nr. 3 BDSG das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Dritter ist gem. § 3 Abs. 8 Satz 2 BDSG jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind dagegen nach § 3 Abs. 8 Satz 3 BDSG nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat des EWR personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Es liegt keine Übermittlung vor, wenn die Daten an den Betroffenen, einen Auftragnehmer oder eine Person oder Stelle innerhalb der speichernden Stelle weitergegeben werden.125 Somit liegt bei der Weitergabe der Daten im Rahmen einer Auftragsdatenverarbeitung i. S. v. § 11 BDSG keine Übermittlung nach § 3 Abs. 4 Satz 2 Nr. 3 BDSG vor.126 Gem. §§ 11 Abs. 1 Satz 1, 3 Abs. 7 BDSG bleibt dann der Auftraggeber die verantwortliche Stelle. Ist der Cloud-Anbieter dagegen kein Auftragsdatenverarbeiter, liegt bei der Auslagerung der Daten eine Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG vor, da die Daten an den Cloud-Anbieter als Dritten weitergegeben werden. Bei der Auslagerung von Daten in die Cloud liegt kein Sperren und Löschen von Daten vor. Sperren ist gem. § 3 Abs. 4 Satz 2 Nr. 4 BDSG das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken. Nach dem Sperren ist nur noch eine eingeschränkte Verarbeitung oder Nutzung der Daten möglich;127 es liegt aber keine Unkenntlichmachung wie beim Löschen vor.128 Löschen ist gem. § 3 Abs. 4 Satz 2 Nr. 5 BDSG das Unkenntlichmachen gespeicherter personenbezogener Daten. Das Löschen stellt zugleich folglich die Beendigung der Verarbeitung dar.129
125 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 39; Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 58, 64; Gola / Schomerus, BDSG, § 3 Rn. 34; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 34. 126 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 40; Gola / Schomerus, BDSG, § 11 Rn. 4. 127 Gola / Schomerus, BDSG, § 3 Rn. 38. 128 Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 38. 129 Gola / Schomerus, BDSG, § 3 Rn. 40.
100
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(3) Nutzung Der Tatbestand der Nutzung ist ein Auffangtatbestand. Eine Nutzung kann nur dann vorliegen, wenn keine Erhebung oder Verarbeitung der Daten stattfindet.130 Nutzen ist gem. § 3 Abs. 5 BDSG jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. Nutzungen sind z. B. die ziel- und zweckgerichtete Auswertung, Zusammenstellung, Kenntnisnahme oder der Abruf von Daten.131 Darunter fällt auch die stelleninterne Weitergabe von Daten.132 Daher sind dann auch die Übersendung zur Auftragsdatenverarbeitung sowie die Rückgabe der Daten nach der Durchführung einer Auftragsdatenverarbeitung Nutzungen, und die Nutzung ist ein bezüglich der Auslagerung von Daten in die Cloud relevanter Vorgang.133 Eine andere Ansicht erachtet das Vorliegen eines Erlaubnistatbestandes für den Datentransfer im Rahmen einer Auftragsdatenverarbeitung als nicht nötig.134 cc) Normadressat Normadressat des BDSG ist die verantwortliche Stelle.135 Verantwortliche Stelle ist nach § 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. § 3 Abs. 7 BDSG setzt Art. 2 lit. d) Satz 1 DS-RL um. Art. 2 lit. d) Satz 1 DS-RL spricht nicht von einer „verantwortlichen Stelle“, sondern von „für die Verarbeitung Verantwortlichen“. Danach ist der für die Verarbeitung Verantwortliche jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In der DS-GVO wird der „Verantwortliche“ in Art. 4 Nr. 7 DS-GVO definiert. 130 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 45; Gola / Schomerus, BDSG, § 3 Rn. 42; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 3 Rn. 41. 131 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 45; Gola / Schomerus, BDSG, § 3 Rn. 42. 132 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 45; Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 58, 64; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 158; Schultze-Melling, in: Bräutigam (Hrsg.), ITOutsourcing und Cloud Computing, S. 406 Rn. 10; Kremer / Sander, ITRB 2014, 187 (188). 133 Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 54; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 195; Kremer / Sander, ITRB 2014, 187 (188). 134 Siehe dazu C. II. 5. f) aa). 135 Gola / Schomerus, BDSG, § 3 Rn. 48; Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 110.
I. Anwendbares Datenschutzrecht101
Gem. § 2 Abs. 4 BDSG ist ein nicht-öffentliches Unternehmen, das seine Kunden- bzw. Personaldaten in die Cloud auslagern möchte, ein tauglicher Adressat des BDSG. Taugliche Adressaten sind gem. § 1 Abs. 2 BDSG öffentliche Stellen des Bundes, öffentliche Stellen der Länder und nicht-öffentliche Stellen. Ein nicht-öffentliches Unternehmen ist eine nicht-öffentliche Stelle gem. § 2 Abs. 4 Satz 1 BDSG. Darunter fallen natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, soweit sie nicht unter die Absätze 1 bis 3 zu fassen sind. Die Unterscheidung der Normadressaten des BDSG in öffentliche und nicht-öffentliche Stellen ist notwendig für die anwendbaren Datenverarbeitungsvoraussetzungen im BDSG. Für öffentliche Stellen gelten §§ 12–26 BDSG (Zweiter Abschnitt des BDSG), für nicht-öffentliche Stellen gelten §§ 27–38a BDSG (Dritter Abschnitt des BDSG).136 Die DS-RL sieht eine derartige Zweiteilung nicht vor.137 Auch die DS-GVO, welche in großen Teilen das BDSG ersetzen wird, kennt ebenso wie die DS-RL keine Zweiteilung. Der Einsatz von technischen Geräten wie PC, Notebook und Smartphone bzw. die Auslagerung von Daten in die Cloud ist eine Benutzung von Datenverarbeitungsanlagen nach § 1 Abs. 2 Nr. 3 BDSG. „Datenverarbeitungsanlage“ ist jede Anlage, die durch automatische Prozesse personenbezogene Daten verwendet. Der Begriff umfasst alle Arten von Computern, beispielsweise PC, Notebook und Smartphone.138 Entscheidend ist dabei nicht, ob die Daten tatsächlich unter Einsatz von Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden, sondern die Intention des Normadressaten, die Daten unter Einsatz von Datenverarbeitungsanlagen zu verwenden.139 Schon das Aufnehmen von personenbezogenen Daten eines Kunden oder Arbeitnehmers auf ein Blatt Papier fällt unter das Erheben von Daten unter Nutzung von Datenverarbeitungsanlagen, wenn diese Daten später auf den PC übertragen werden sollen. Ob diese Übertragung später stattfindet, ist nicht relevant für den Vorgang des Erhebens der Daten.140 Die Auslagerung der Kunden- bzw. Personaldaten dient nicht persönlichen oder familiären Tätigkeiten. Die Verantwortlichkeit des Normadressaten nach dem BDSG bleibt nach § 3 Abs. 7 Halbsatz 2 BDSG auch dann bestehen, wenn das Unternehmen die personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung auslagert. 136 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 2 Rn. 2; Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 2 Rn. 1. 137 Buchner, in: Taeger / Gabel (Hrsg.), BDSG, § 2 Rn. 4. 138 Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 27; Dammann, in: Simitis (Hrsg.), BDSG, § 1 Rn. 140. 139 Dammann, in: Simitis (Hrsg.), BDSG, § 1 Rn. 141 f. 140 Dammann, in: Simitis (Hrsg.), BDSG, § 1 Rn. 141.
102
C. Auslagerung von Kunden- und Personaldaten in die Cloud
c) Sachlicher Anwendungsbereich des BDSG Der sachliche Anwendungsbereich des BDSG ist bei der Auslagerung von Kunden- und Personaldaten an einen Cloud-Anbieter durch ein deutsches Unternehmen eröffnet. d) Sachlicher Anwendungsbereich der DS-GVO Der sachliche Anwendungsbereich der DS-GVO ist in Art. 2 DS-GVO geregelt. Die DS-GVO gilt nach Art. 2 Abs. 1 DS-GVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Wie in § 1 Abs. 2 BDSG wird in Art. 2 Abs. 2 lit. c) DS-GVO die Anwendbarkeit der DS-GVO für Datenverarbeitungen durch natürliche Personen zu persönlichen oder familiären Zwecken ausgeschlossen. Zentrales Tatbestandsmerkmal ist der Begriff der „personenbezogenen Daten“.141 Die Begriffsbestimmung des Begriffs „personenbezogene Daten“ erfolgt in Art. 4 Nr. 1 DSGVO. Zentrale Frage im Rahmen des Begriffs „personenbezogene Daten“ ist die Frage nach der Bestimmbarkeit des Personenbezugs, also danach, ob die DS-GVO einen relativen (subjektiven) Ansatz oder einen absoluten (objektiven) Ansatz verfolgt. Da diese Frage nach der Bestimmbarkeit der Person für das BDSG (noch) umstritten ist,142 fragt sich, ob die DS-GVO hinsichtlich dieser Frage Rechtssicherheit schafft. Art. 4 Nr. 1 DS-GVO-KOM143 und Erwägungsgrund 23 DS-GVO-KOM beziehen nicht nur – wie Erwägungsgrund 26 DS-RL – die Mittel eines „Dritten“ für die Bestimmbarkeit ein, sondern die Mittel einer „jeden sonstigen natürlichen oder juristischen Person“. Diese Erweiterung des Einbezugs von Mitteln für die Bestimmbarkeit einer Person spricht für einen objektiven Ansatz von Art. 4 Nr. 1 DS-GVO-KOM.144 Allerdings schränkt Erwägungsgrund 23 DS-GVO-KOM den sachlichen Anwendungsbereich der DS-GVO insofern ein, als die Grundsätze des Datenschutzes nicht für 141 Buchner,
DuD 2016, 155; Spindler, DB 2016, 937. dazu C. I. 1. b) aa) (2) (b). 143 Im Folgenden als DS-GVO-KOM bezeichnet: EU-Kommission, KOM(2012) 11 endgültig. 144 Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 335 f. Rn. 27; Brink / Eckhardt, ZD 2015, 205 (209); Dehmel / Hullen, ZD 2013, 147 (148); Eckhardt / Kramer / Mester, DuD 2013, 623 (625 f.); Roßnagel / Kroschwald, ZD 2014, 495 (496 f.); Schneider / Härting, ZD 2012, 199 (200). 142 Siehe
I. Anwendbares Datenschutzrecht103
Daten gelten sollen, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht mehr identifiziert werden kann. Da nach der absoluten Theorie auch anonymisierte Daten dem Datenschutzrecht unterfallen, weil für die Bestimmbarkeit der Person auch die Mittel der anonymisierenden Stelle selbst einbezogen werden, spricht diese Aussage des Erwägungsgrundes 23 DS-GVO-KOM für einen relativen Ansatz.145 Auch Erwägungsgrund 24 DS-GVO-KOM lässt sich als Indiz für eine relative Sichtweise ansehen. Erwägungsgrund 24 DS-GVO-KOM besagt, dass durch Zusammenführen von Spuren, die eine Person beispielsweise durch Nutzung von Online-Diensten hinterlässt, mit eindeutigen Kennungen personenbezogene Daten entstehen können. Diese Aussage wäre wiederum nicht nötig, wenn die DS-GVO-KOM einen absoluten Ansatz verfolgte, da dann das Wissen einer Stelle auch allen anderen Stellen bekannt wäre.146 Art. 4 Nr. 2 DS-GVO-PARL147 nähert sich mit dem Wortlaut „direkt oder indirekt identifiziert werden kann“ wieder näher an den Wortlaut von Art. 2 lit. a) DS-RL an. Erwägungsgrund 23 DS-GVO-PARL stellt für die Mittel, die zur Identifizierung der Person genutzt werden, zwar auf objektive Kriterien ab. Erwägungsgrund 23 DS-GVO-PARL nennt aber als Kriterien beispielsweise Kosten und Zeitaufwand, die von Person zu Person unterschiedlich sind. Dies spricht für einen relativen Ansatz.148 Darüber hinaus wird der relative Ansatz durch den Ausschluss des Anwendungsbereichs von anonymen Daten sichtbar.149 Art. 4 Nr. 1 DS-GVO-RAT150 nähert sich mit dem Wortlaut ebenfalls der DS-RL an. Auch der Rat stellt in Erwägungsgrund 23 DS-GVO-RAT auf die individuellen Fähigkeiten der Stelle für die Identifizierung ab und schließt anonyme Daten von dem Anwendungsbereich der DS-GVO aus. Erwägungsgrund 24 DS-GVO-RAT ist fast mit Erwägungsgrund 24 DSGVO-KOM identisch. Diese Indizien sprechen dafür, dass der Rat einen relativen Ansatz verfolgt. Art. 4 Nr. 1 DS-GVO übernimmt die Formulierung des Vorschlags des Rats und bezieht somit nicht wie der DS-GVO-KOM-Entwurf die Mittel einer „jeden sonstigen natürlichen oder juristischen Person“ ein. Vielmehr 145 Roßnagel / Kroschwald,
ZD 2014, 495 (496 f.). DuD 2013, 623 (627 f.); Nebel / Richter, ZD 2012, 407 (410); Schneider / Härting, ZD 2012, 199 (200). 147 Im Folgenden als DS-GVO-PARL bezeichnet: EU-Parlament, P7_TAPROV(2014)0212. 148 Roßnagel / Kroschwald, ZD 2014, 495 (496 f.); a. A. Grenzer / Heitmüller, PinG 2014, 221 (230). 149 Roßnagel / Kroschwald, ZD 2014, 495 (496 f.). 150 Im Folgenden als DS-GVO-RAT bezeichnet: Rat der Europäischen Union, Dok. 9565 / 15. 146 Eckhardt / Kramer / Mester,
104
C. Auslagerung von Kunden- und Personaldaten in die Cloud
ist der Wortlaut von Art. 4 Nr. 1 DS-GVO sehr an den Wortlaut von Art. 2 lit. a) DS-RL angelehnt. Erwägungsgrund 26 DS-GVO stellt zwar auch wie Erwägungsgrund 23 DS-GVO-PARL und DS-GVO-RAT für die Bestimmung des Personenbezugs zunächst auf objektive Faktoren, wie die Kosten und den Zeitaufwand für die Identifizierung, ab. Diese Faktoren sind aber von Stelle zu Stelle verschieden, was auf einen relativen Ansatz für die Bestimmung des Personenbezugs hindeutet. Dafür spricht auch der Ausschluss anonymer Daten vom Anwendungsbereich der DS-GVO, was ebenfalls in Erwägungsgrund 26 DS-GVO angesprochen wird. Erwägungsgrund 30 DS-GVO gleicht fast Erwägungsgrund 24 von DS-GVO-KOM und DS-GVO-RAT. Dies ist ebenfalls ein Indiz dafür, dass die DS-GVO einen relativen Ansatz verfolgt.151 Ebenso wie die oben genannten Entwürfe der EU-Kommission, des EUParlaments und des Rats der EU besagt die endgültige Fassung der DSGVO nicht explizit, welche Theorie des Personenbezugs anwendbar sein soll. Es spricht vieles dafür, dass die DS-GVO dem relativen Ansatz folgt. Insofern ändert sich der sachliche Anwendungsbereich gegenüber demjenigen des BDSG kaum.152 2. Räumlicher Anwendungsbereich Technisch gesehen macht es für die Funktionsweise des Cloud Comput ing keinen Unterschied, auf welchen Servern in welchen Ländern die ausgelagerten Daten gespeichert sind. Doch datenschutzrechtlich gesehen ist es von großer Bedeutung, wo die Verarbeitung der Daten stattfindet, da sich danach bestimmt, welches nationale Datenschutzrecht Anwendung findet.153 Das anwendbare Datenschutzrecht bestimmt sich nach den Prinzipien des Territorialprinzips und des Sitzlandprinzips. a) Grundsatz: Territorialprinzip Bei nicht grenzüberschreitendem Datenverkehr gilt in Deutschland grundsätzlich das Territorialprinzip. Dies ergibt sich aus einem Umkehrschluss aus § 1 Abs. 5 BDSG, der grenzüberschreitende Sachverhalte regelt.154 Der Buchner, DuD 2015, 155 (156). auch Karg, DuD 2015, 520 (521, 523); a. A. Härting, DS-GVO, S. 73 ff. Rn. 270 ff. und Härting, ITRB 2016, 36 f., der davon ausgeht, dass eher einem weiten Begriff des Personenbezugs gefolgt wird. 153 Gaul / Koehler, BB 2011, 2229 (2233). 154 BT-Drs. 14 / 4329, S. 32; Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 45, 50; Dammann, in: Simitis (Hrsg.), BDSG, § 1 Rn. 208; Roßnagel, in: Roßnagel (Hrsg.), 151 A. A. 152 So
I. Anwendbares Datenschutzrecht105
räumliche Anwendungsbereich des BDSG bezieht sich nach dem Territorialprinzip auf den Umgang mit personenbezogenen Daten im Inland. Entscheidendes Kriterium ist, ob ein inländischer Erhebungs-, Verarbeitungsoder Nutzungsvorgang vorliegt. Es kommt dagegen nicht auf die Nationalität oder die Staatsangehörigkeit des Betroffenen oder des Unternehmens, das die Daten auslagern möchte, an.155 b) Sitzlandprinzip (§ 1 Abs. 5 Satz 1 Halbsatz 1 BDSG) § 1 Abs. 5 Satz 1 Halbsatz 1 BDSG enthält das Sitzlandprinzip. Gem. § 1 Abs. 5 Satz 1 Halbsatz 1 BDSG findet das BDSG keine Anwendung, sofern eine in einem anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat des EWR belegene verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt. § 1 Abs. 5 BDSG beruht auf der Umsetzung von Art. 4 DS-RL. Das Sitzlandprinzip verdrängt im EU-grenzüberschreitenden Datenverkehr das Territorialprinzip.156 Das Sitzlandprinzip kommt dann zum Tragen, wenn ein Unternehmen grenzüberschreitend tätig wird.157 Dies ist beispielsweise dann der Fall, wenn ein ausländisches Unternehmen in Deutschland tätig wird.158 Nach dem Sitzlandprinzip ist für die Anwendung des nationalen Datenschutzrechts nicht der Ort der Erhebung oder Nutzung der Daten entscheidend. Es ist das nationale Datenschutzrecht anwendbar, in dem die verantwortliche Stelle ihren Sitz hat.159 Das Sitzlandprinzip trägt wirtschaftlichen Belangen Rechnung. Einem Unternehmen, das in einem anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat Wolken über dem Rechtsstaat?, S. 27; Jotzo, MMR 2009, 232 (233); Nägele / Jacobs, ZUM 2010, 281 (289); Opfermann, ZEuS 2012, 121 (128); Spies, MMR 2009, Heft 5, XI. 155 Simitis, in: Simitis (Hrsg.), BDSG, § 4b Rn. 8 ff.; Gusy, in: Wolff / Brink (Hrsg.), BDSG, § 1 Rn. 99; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 406 f. Rn. 12; Niemann, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 62 Rn. 11; Rockstroh / Leuthner, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 128; Nägele / Jacobs, ZUM 2010, 281, (289); Niemann / Paul, K&R 2009, 444 (448); Opfermann, ZEuS 2012, 121 (128); Spies, MMR 2009, Heft 5, XI; Splittgerber / Rockstroh, BB 2011, 2179 (2180). 156 v. Lewinski, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 1 Rn. 56; Gola / Schomerus, BDSG, § 1 Rn. 27; Voigt, ZD 2014, 15 (16). 157 Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 200; Jotzo, MMR 2009, 232 (233); Kremer / Buchalik, CR 2013, 789 (792); Voigt, ZD 2014, 15 f. 158 Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 48; Gusy, in: Wolff / Brink (Hrsg.), BDSG, § 1 Rn. 106. 159 BT-Drs. 14 / 4329, S. 31 f.; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 1 Rn. 54.
106
C. Auslagerung von Kunden- und Personaldaten in die Cloud
des EWR Daten erheben oder verarbeiten möchte, soll nicht das Hindernis auferlegt werden, ein „fremdes“ Datenschutzrecht einhalten zu müssen. Dem Unternehmen soll es ermöglicht werden, quasi sein nationales Datenschutzrecht in den anderen Mitgliedstaat zu „exportieren“.160 c) Ausnahme vom Sitzlandprinzip: Niederlassungsprinzip bzw. abgeschwächtes Sitzlandprinzip (§ 1 Abs. 5 Satz 1 Halbsatz 2 BDSG) Das Sitzlandprinzip im EU-grenzüberschreitenden Datenverkehr gilt aber nicht unbeschränkt. Eine Ausnahme vom Sitzlandprinzip und damit die Anwendung des sog. „Niederlassungsprinzips“ bzw. „abgeschwächten Sitzlandprinzips“ findet sich in § 1 Abs. 5 Satz 1 Halbsatz 2 BDSG.161 Erfolgt die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten durch eine Niederlassung der verantwortlichen Stelle, die in einem anderen Mitgliedstaat der EU oder in einem anderen Vertragsstaat des EWR belegen ist, im Inland, dann findet gem. § 1 Abs. 5 Satz 1 Halbsatz 2 BDSG das Datenschutzrecht Anwendung, in welchem die Niederlassung belegen ist. Der Begriff der Niederlassung ist weit gefasst.162 Nach Erwägungsgrund 19 DS-RL setzt eine Niederlassung die effektive und tatsächliche Ausübung einer Tätigkeit mittels einer festen Einrichtung voraus. d) Geltung des Territorialprinzips für verantwortliche Stellen außerhalb der EU bzw. des EWR (§ 1 Abs. 5 Satz 2 BDSG) Gem. § 1 Abs. 5 Satz 2 BDSG findet das Territorialprinzip auf Datenerhebungen und Datenverarbeitungen im Inland durch eine verantwortliche Stelle aus einem Drittland Anwendung, es sei denn, dass nach § 1 Abs. 5 Satz 4 BDSG Datenträger nur zum Zweck des Transits durch das Inland eingesetzt werden. Lagert ein deutsches Unternehmen die Daten an einen US-amerikanischen Cloud-Anbieter aus, muss danach unterschieden werden, ob eine Auftragsdatenverarbeitung vorliegt oder nicht. Werden die Kunden- bzw. Personaldaten im Rahmen einer Auftragsdatenverarbeitung an einen Cloud-Anbieter ausgelagert, ist das deutsche Unternehmen allein die verantwortliche Stelle 160 Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 46; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 1 Rn. 54; Voigt, ZD 2014, 15 (16). 161 Gola / Schomerus, BDSG, § 1 Rn. 28; Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 52; Dammann, in: Simitis (Hrsg.), BDSG, § 1 Rn. 199; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 1 Rn. 55. 162 Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 55; Dammann, in: Simitis (Hrsg.), BDSG, § 1 Rn. 203.
I. Anwendbares Datenschutzrecht107
und es ist ausschließlich das BDSG auf jegliche Datenverarbeitungen – auch nach dem Datentransfer – anwendbar. Liegt keine Auftragsdatenverarbeitung vor, gibt es zwei verantwortliche Stellen: das deutsche Unternehmen für die Übermittlung der Daten und den US-amerikanischen Cloud-Anbieter für Vorgänge innerhalb des Cloud-Anbieters nach der Übermittlung. Auf den Vorgang der Übermittlung des deutschen Unternehmens ist das BDSG anwendbar, für die Vorgänge innerhalb des US-amerikanischen Cloud-Anbieters dagegen US-amerikanisches Datenschutzrecht. Bei den Vorgängen innerhalb des US-amerikanischen Cloud-Anbieters handelt es sich um Vorgänge, die nicht im deutschen Inland geschehen, weshalb nach § 1 Abs. 5 Satz 2 BDSG deutsches Datenschutzrecht keine Anwendung findet. e) Problematik der Anwendbarkeit des Territorialprinzips und des Sitzlandprinzips auf das Cloud Computing Cloud Computing stellt das Territorialprinzip und das Sitzlandprinzip vor Herausforderungen. Diese Prinzipien basieren auf der Annahme, dass der Ort der Datenverarbeitung genau bestimmt werden kann.163 Diese Annahme gilt aber nicht mehr für das Cloud Computing.164 Die Angabe der „Cloud“ als Ort der Datenverarbeitung ist zu unpräzise.165 Aufgrund des Einsatzes der Virtualisierungstechnologie beim Cloud Computing können personenbezogene Daten über mehrere Server in mehreren Ländern verteilt sein.166 Die Aufteilung der Daten erfolgt meist durch Algorithmen, die in den Rechenzentren der Cloud-Anbieter zum Einsatz kommen.167 Im Einsatz von derartigen Technologien und Techniken liegt das große Potential des Cloud Computing.168 Diese Technologien und Techniken können aber dazu führen, dass die Datenströme zwischen den Servern des Cloud-Anbieters unberechenbar und unbeherrschbar werden.169 Daten können in Sekundenbruchteilen auf andere Server übertragen werden und so innerhalb kürzester Zeit Landesgrenzen überschreiten.170 Aufgrund des Einsatzes von Algorithmen, die die Daten automatisch auf die verfügbaren Server aufteilen, kann es geschehen, dass der Cloud-Anbieter nur anhand umfangreicher Dokumenta163 Opfermann,
ZEuS 2012, 121 (128); Spies, MMR 2009, Heft 5, XI. CR 2010, 686 (687); Opfermann, ZEuS 2012, 121 (128); Spies, MMR 2009, Heft 5, XI. 165 Lehmann / Giedke, CR 2013, 608 (611). 166 Hornung / Sädtler, CR 2012, 638; Nordmeier, MMR 2010, 151 (152); Söbbing, MMR 2008, Heft 5, XII (XIV). 167 Birk / Wegener, DuD 2010, 641 (644). 168 Birk / Wegener, DuD 2010, 641 (642). 169 Schuster / Reichl, CR 2010, 38 (41). 170 Piltz, K&R 2013, 292. 164 Niemann / Hennrich,
108
C. Auslagerung von Kunden- und Personaldaten in die Cloud
tionen der Datenverarbeitungsvorgänge nachvollziehen kann, an welchem Ort zu einem bestimmten Zeitpunkt die Daten liegen.171 Es stellt sich somit gerade bei der Nutzung einer Cloud die Frage, welches Datenschutzrecht anwendbar ist.172 f) Anwendbarkeit des Territorialprinzips und des Sitzlandprinzips auf das Cloud Computing Das Territorialprinzip und das Sitzlandprinzip gelangen bei der Nutzung von Clouds aufgrund der Variabilität der Datenübertragungen an ihre Grenzen. Es fragt sich, welche anderen Lösungen de lege ferenda denkbar sind, um beim Cloud Computing festzulegen, welches nationale Datenschutzrecht Anwendung findet. Eine Möglichkeit de lege ferenda wäre es, das Territorialprinzip an sich zu überdenken173 oder es gänzlich aufzugeben174. An die Stelle des Territorialprinzips könnte eine Art Adressatentheorie treten: Das nationale Datenschutzrecht eines Staates könnte demnach dann anwendbar sein, wenn sich Anbieter aus Drittstaaten mit ihren Leistungen an die Nutzer in dem Staat richten. Es könnte also dann das BDSG anwendbar sein, wenn sich ein US-amerikanischer Anbieter mit seinem Webshop direkt an deutsche Nutzer richtet.175 Die Adressatentheorie steht bei dem Einsatz von Cloud Computing vor dem Problem, dass die Vertragspartner der Cloud-Anbieter im Unternehmensumfeld keine Privatnutzer, sondern Unternehmen sind.176 Weiterhin ist fraglich, ob die Adressatentheorie mit dem Wortlaut von Art. 4 Abs. 1 lit. c) DS-RL vereinbar ist, der von „belegen“ spricht.177 Das anwendbare Datenschutzrecht könnte sich auch nach dem Niederlassungsort des Cloud-Anbieters oder dem Standort des genutzten Servers bestimmen. Allerdings ist das Abstellen auf den Niederlassungsort proble171 Wicker, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 2, S. 981; Birk / Wegener, DuD 2010, 641 (644); Söbbing, MMR 2008, Heft 5, XII (XIV); Spies, MMR 2009, Heft 5, XI (XII). 172 Nägele / Jacobs, ZUM 2010, 281, (289); Söbbing, MMR 2008, Heft 5, XII (XIV); Spies, MMR 2009, Heft 5, XI (XII). 173 Spies, MMR 2009, Heft 5, XI (XII). 174 Nägele / Jacobs, ZUM 2010, 281, (290); Opfermann, ZEuS 2012, 121 (129). 175 Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 141 ff.; Jotzo, MMR 2009, 232; Nägele / Jacobs, ZUM 2010, 281, (290); Opfermann, ZEuS 2012, 121 (129). 176 Spies, MMR 2009, Heft 5, XI (XII). 177 Pötters, NZA 2013, 1055 (1056).
I. Anwendbares Datenschutzrecht109
matisch, weil manipulierbar. Auch die Bestimmung nach dem Serverstandort führt in der Cloud zu Problemen, da die Cloud eines Unternehmens aus einer Vielzahl von Servern besteht, auf denen die Daten liegen können. Den einen Server mit den Daten im Serververbund zu finden ist schwierig, noch dazu, wenn die Daten auf mehrere Server verteilt sind.178 Da die Daten in Sekundenschnelle den Server wechseln und damit auch Ländergrenzen überschreiten können, ist der Standort der Server kein tauglicher Anknüpfungspunkt. An die Stelle des Territorialprinzips bzw. Sitzlandprinzips könnte de lege ferenda ein weiteres Prinzip treten, das sich an das internationale Kollisionsrecht, z. B. beim anwendbaren Recht des Namens nach Art. 10 Abs. 1 EGBGB, anlehnt: Für jeden Cloud-Nutzer gilt „sein“ nationales Datenschutzrecht, unabhängig davon, wo sich seine Daten befinden.179 Würde ein Unternehmen mit Sitz in Italien personenbezogene Daten von einem deutschen Nutzer erheben, wäre nicht – gemäß des Sitzlandprinzips nach § 1 Abs. 5 Satz 1 Halbsatz 1 BDSG – italienisches Datenschutzrecht sondern, weil es die Daten eines deutschen Nutzers sind, deutsches Datenschutzrecht anwendbar. Der Nachteil läge aber darin, dass personenbezogene Daten auf ein- und demselben Server rechtlich unterschiedlich behandelt würden.180 Aufgrund der Virtualisierungstechnologie des Cloud Computing gelangen das Territorialprinzip und das Sitzlandprinzip an ihre Grenzen. Die Ansätze de lege ferenda zur Ablösung des Territorial- und Sitzlandprinzips vermögen aber alle nicht zu überzeugen. g) Räumlicher Anwendungsbereich gem. BDSG Wenn ein Unternehmen mit Sitz in Deutschland Daten von seinen Kunden bzw. Arbeitnehmern in Deutschland erhebt, ist aufgrund des Fehlens eines grenzüberschreitenden Sachverhalts deutsches Datenschutzrecht, und somit das BDSG, anwendbar.181 Lagert das Unternehmen die Daten als verantwortliche Stelle an einen Cloud-Anbieter aus, spielt es keine Rolle für die Anwendbarkeit des BDSG, ob eine Auftragsdatenverarbeitung oder eine Übermittlung vorliegt. Das deutsche Unternehmen ist immer die für die Auslagerung verantwortliche Stelle. Der relevante datenschutzrechtliche Vorgang findet in Deutschland statt. Aufgrund des Territorialprinzips ist das BDSG anwendbar. Dabei ist es für die räumliche Anwendbarkeit des BDSG auch auch Spies, MMR 2009, Heft 5, XI (XII). MMR 2009, Heft 5, XI (XII). 180 Spies, MMR 2009, Heft 5, XI (XII). 181 Voigt, ZD 2014, 15 (16). 178 So
179 Spies,
110
C. Auslagerung von Kunden- und Personaldaten in die Cloud
nicht von Belang, ob der Cloud-Anbieter selbst aus Deutschland, der EU bzw. dem EWR oder aus einem Drittstaat, wie den USA, stammt.182 h) Räumlicher Anwendungsbereich gem. DS-GVO Aus Art. 3 Abs. 1 DS-GVO ergeben sich gegenüber § 1 Abs. 5 Satz 1 BDSG, der auf Art. 4 DS-RL basiert, keine Unterschiede. Nach beiden Normen findet das jeweilige Datenschutzrecht Anwendung, wenn die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung in der Union erfolgt. Art. 3 Abs. 2 DS-GVO stellt dagegen auf das sog. „Marktortprinzip“ oder „Auswirkungsprinzip“ ab.183 Demnach ist der räumliche Anwendungsbereich der DS-GVO auch dann eröffnet, wenn ein im Drittstaat niedergelassener Anbieter den in der EU ansässigen betroffenen Personen in der EU Waren oder Dienstleistungen anbietet oder Datenverarbeitungen durchführt, die der Beobachtung des Verhaltens der in der EU ansässigen betroffenen Personen dient. Das Abstellen auf das Anbieten von Waren oder Dienstleistungen oder auf das Beobachten der betroffenen Personen im Rahmen des räumlichen Anwendungsbereichs der DS-GVO ist eine neue Regelung und noch nicht in der DS-RL und dem die DS-RL umsetzenden BDSG enthalten. Das neue Marktortprinzip oder Auswirkungsprinzip erfasst allerdings nicht alle denkbaren Verarbeitungskonstellationen. Die DS-GVO ist räumlich nicht anwendbar, wenn ein Dreiecksverhältnis vorliegt. Das ist beispielsweise dann der Fall, wenn ein Unternehmen mit Niederlassung in der EU personenbezogene Daten eines Betroffenen an einen Cloud-Anbieter aus einem Drittstaat, der seine Dienstleistungen auch in der EU anbietet, auslagert. Da der Cloud-Anbieter nicht der betroffenen Person seine Dienstleistung anbietet, ist Art. 3 Abs. 2 DS-GVO nicht einschlägig. Folglich ist für die Verarbeitungsvorgänge beim Cloud-Anbieter aus dem Drittstaat nicht die DS-GVO anwendbar, sondern es findet das Datenschutzrecht des jeweiligen Drittstaates für weitere Verarbeitungen der personenbezogenen Daten der Betroffenen beim Cloud-Anbieter Anwendung.184 Für den räumlichen Anwendungsbereich der Auslagerung von Kundenbzw. Personaldaten eines deutschen Unternehmens an einen Cloud-Anbieter 182 Roßnagel,
in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 27. DuD 2016, 155 (156); Roßnagel / Kroschwald, ZD 2014, 495 (497); eine ausführliche Zusammenfassung über den räumlichen Anwendungsbereich der DS-GVO ist zu finden bei Wieczorek, DuD 2013, 644 ff. 184 Hornung / Sädtler, CR 2012, 638 (640); Roßnagel / Kroschwald, ZD 2014, 495 (497). 183 Buchner,
II. Datenschutzrechtliche Rechtmäßigkeit111
ergeben sich durch Art. 3 DS-GVO keine Unterschiede gegenüber dem BDSG. War bisher auf das die personenbezogenen Daten auslagernde Unternehmen das BDSG anwendbar, in dem die Regelungen der DS-RL umgesetzt wurden, werden in Zukunft die Regelungen der DS-GVO Anwendung finden.
II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Kunden- und Personaldaten in die Cloud 1. Prinzip des Verbots mit Erlaubnisvorbehalt Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind gem. § 4 Abs. 1 BDSG nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. § 4 Abs. 1 BDSG ist die zentrale Regelung im deutschen Datenschutzrecht. § 4 Abs. 1 BDSG beschreibt das sog. „Prinzip des Verbots mit Erlaubnisvorbehalt“.185 Jeder Umgang mit personenbezogenen Daten ist nach dem Prinzip des Verbots mit Erlaubnisvorbehalt grundsätzlich zunächst nicht erlaubt.186 Ausnahmsweise ist die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten allerdings dann zulässig, wenn eine Erlaubnisnorm vorliegt.187 Auch die DS-GVO hält an dem Prinzip des Verbots mit Erlaubnisvorbehalt fest.188 Das BDSG selbst kennt als Erlaubnisnormen für öffentliche Stellen die §§ 13–16 BDSG und für nicht-öffentliche Stellen die §§ 28–30a und 32 BDSG. Die Einwilligung des Betroffenen ist in § 4a BDSG geregelt. Andere Rechtsvorschriften sind beispielsweise §§ 14–15 TMG und §§ 95–107 TKG. Auch eine Betriebsvereinbarung kann ein Erlaubnistatbestand sein.189 Das Erfordernis des Bestehens des Erlaubnistatbestandes explizit für die Auslagerung der Daten an einen Cloud-Anbieter ist dann nicht nötig, wenn sie im Rahmen einer Auftragsdatenverarbeitung i. S. v. § 11 BDSG erfolgt. Es genügt dann für eine datenschutzkonforme Auslagerung, dass das auslagernde 185 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4 Rn. 4; Gola / Schomerus, BDSG, § 4 Rn. 3; Plath, in: Plath (Hrsg.), BDSG, § 4 Rn. 1; Scholz / Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 4 f. 186 Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4 Rn. 1; Scheja / Haag, in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 5 Rn. 74. 187 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4 Rn. 1; Gola / Schomerus, BDSG, § 4 Rn. 5. 188 Härting, DS-GVO, S. 81 Rn. 318; Härting, ITRB 2016, 36 (38 f.); Kort, DB 2016, 711; Spindler, DB 2016, 937 (939); Wybitul / Pötters, RDV 2016, 10 (11). 189 BAG, Beschluss vom 27.05.1986 – 1 ABR 48 / 84, NJW 1987, 674 (677); Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 13.
112
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Unternehmen einen Erlaubnistatbestand für die Nutzung190 der Daten hat. Ist eine Auftragsdatenverarbeitung bei der Auslagerung von Kunden- und Personaldaten datenschutzkonform möglich, ist sie das vorzugswürdige Instrument für das Unternehmen, da die datenschutzrechtlichen Hürden einer Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG höher sind, als die einer Auftragsdatenverarbeitung i. S. v. § 11 BDSG in Kombination mit einer Nutzung i. S. v. § 3 Abs. 5 BDSG. Dies gilt besonders dann, wenn die Auslagerung an einen Cloud-Anbieter aus einem Drittstaat erfolgen soll. 2. Vorliegen eines Erlaubnistatbestandes im nationalen Kontext Die Auslagerung der Kunden- bzw. Personaldaten eines kleinen oder mittelständischen deutschen Unternehmens an einen Cloud-Anbieter mit Sitz in Deutschland191 im Rahmen einer Übermittlung ist datenschutzkonform möglich, wenn ein Erlaubnistatbestand vorliegt. §§ 28–30a und 32 BDSG sind die im BDSG geregelten Erlaubnisnormen für eine Datenübermittlung von nicht-öffentlichen Stellen. Für die Rechtfertigung einer Übermittlung von Kundendaten und Personaldaten an einen deutschen Cloud-Anbieter kommen §§ 28 Abs. 1, 29 Abs. 1 und 32 Abs. 1 BDSG als Erlaubnistatbestände in Betracht. Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist gem. § 28 Abs. 1 Satz 1 BDSG zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist (Nr. 1), soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt (Nr. 2), oder wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt (Nr. 3). Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist nach § 29 Abs. 1 Satz 1 BDSG zulässig, wenn kein Grund zu der An190 Siehe
dazu C. II. 5. f). die Auslagerung von Kunden- bzw. Personaldaten eines deutschen Unternehmens an einen Cloud-Anbieter mit Sitz in der EU bzw. dem EWR und in einem Drittstaat wird in C. II. 6. näher eingegangen. 191 Auf
II. Datenschutzrechtliche Rechtmäßigkeit113
nahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat (Nr. 1), die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt (Nr. 2), oder die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 BDSG erfüllt sind (Nr. 3). Personenbezogene Daten eines Beschäftigten dürfen gem. § 32 Abs. 1 Satz 1 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. a) Abgrenzung von §§ 28, 29 und 32 BDSG Die Abgrenzung zwischen § 28 BDSG und § 29 BDSG erfolgt danach, ob die Datenübermittlung nur Mittel zum Zweck ist, also nur zur Erreichung eines dahinterstehenden Geschäftszwecks oder wirtschaftlichen Erfolgs dient, oder ob die Datenübermittlung zum Erreichen des eigenen Geschäftszwecks erfolgt. Dient die Datenübermittlung nur als Mittel zum Zweck, ist § 28 BDSG einschlägig; ist die Datenübermittlung selbst der Zweck, ist § 29 BDSG einschlägig. Wesentliches Abgrenzungskriterium ist dabei die Frage, ob die Stelle, an die die Daten übermittelt werden, ein eigenes Interesse an den Daten hat, weil sie mit dem Betroffenen entweder schon in Kontakt steht oder in Kontakt treten möchte.192 Beispiel für eine Übermittlung nach § 28 BDSG ist die Datenübermittlung im Rahmen der Abwicklung von vertraglichen Verhältnissen zwischen den Vertragspartnern.193 Typisches Beispiel für eine Anwendung von § 29 BDSG sind dagegen Übermittlungen an Werbefirmen.194 § 28 Abs. 6 bis 9 BDSG sind leges speciales für besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG.195 192 Gola / Schomerus, BDSG, § 28 Rn. 4; Plath, in: Plath (Hrsg.), BDSG, § 29 Rn. 11; Ehmann, in: Simitis (Hrsg.), BDSG, § 29 Rn. 20; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 31, § 29 Rn. 12. 193 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 10; Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 22; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 33. 194 Gola / Schomerus, BDSG, § 29 Rn. 2; Plath, in: Plath (Hrsg.), BDSG, § 29 Rn. 19. 195 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 146; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 207 f.; Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 146; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 238 ff.
114
C. Auslagerung von Kunden- und Personaldaten in die Cloud
§ 32 Abs. 1 Satz 1 BDSG schließt § 28 Abs. 1 Satz 1 Nr. 1 BDSG aus, wenn personenbezogene Daten eines Beschäftigten übermittelt werden sollen. § 32 Abs. 1 Satz 1 BDSG ist insoweit lex specialis.196 Dieser Ausschluss gilt aber nur für § 28 Abs. 1 Satz 1 Nr. 1 BDSG.197 Der Tatbestand der Interessenabwägung in § 28 Abs. 1 Satz 1 Nr. 2 BDSG steht dem Arbeitgeber zwar nicht alternativ zu § 32 Abs. 1 BDSG zur Verfügung.198 Allerdings kann für andere Zwecke als für Zwecke des Beschäftigungsverhältnisses durchaus auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG zurückgegriffen werden, wenn es um Vorgänge geht, die mit dem Arbeitsverhältnis in Bezug stehen, die aber nicht mehr der Zweckbestimmung des Vertragsverhältnisses unterliegen.199 Darunter fallen z. B. freiwillige Leistungen des Arbeitgebers, Veröffentlichungen in Werkszeitschriften oder Übermittlungen im Rahmen von Due-Diligence-Prüfungen beim Unternehmenserwerb.200 b) Prüfung der einschlägigen Rechtsgrundlage für die Auslagerung von Kunden- und Personaldaten Da die Auslagerung von Kundendaten nur Mittel zum Zweck ist, also nur dazu dient, möglichst optimal mit den Kundendaten arbeiten zu können, kommt für eine datenschutzkonforme Auslagerung von Kundendaten vorrangig § 28 Abs. 1 BDSG in Betracht. Bei der Auslagerung von Personaldaten fragt sich zunächst, ob die Auslagerung der Daten für die Zwecke des Beschäftigungsverhältnisses erfolgt oder zu anderen Zwecken. Erfolgt die Auslagerung für Zwecke des Beschäftigungsverhältnisses, ist die Übermittlung der Daten an § 32 Abs. 1 BDSG zu messen, anderenfalls an § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Bei Vorliegen besonderer Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG sind § 28 Abs. 6 bis 9 BDSG einschlägig. Sensible Daten fallen überwiegend im Rahmen der Verarbeitung von Personaldaten an.
196 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 32 Rn. 7; Gola / Schomerus, BDSG, § 32 Rn. 2. 197 Gola / Schomerus, BDSG, § 32 Rn. 2. 198 Gola / Schomerus, BDSG, § 32 Rn. 50; Seifert, in: Simitis (Hrsg.), BDSG, § 32 Rn. 17; Gaul / Koehler, BB 2011, 2229 (2232). 199 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 32 Rn. 8; Gola / Schomerus, BDSG, § 32 Rn. 45 ff.; Seifert, in: Simitis (Hrsg.), BDSG, § 32 Rn. 17. 200 Gola / Schomerus, BDSG, § 32 Rn. 47 f.; Gaul / Koehler, BB 2011, 2229 (2232).
II. Datenschutzrechtliche Rechtmäßigkeit115
c) Kundendaten: Datenerhebung und -speicherung für eigene Geschäftszwecke (§ 28 BDSG) aa) Verhältnis der drei Erlaubnistatbestände des § 28 Abs. 1 Satz 1 BDSG Die drei Erlaubnistatbestände des § 28 Abs. 1 Satz 1 BDSG stehen gleichrangig nebeneinander.201 Der Wortlaut von § 28 Abs. 1 Satz 1 BDSG räumt keiner Variante den Vorrang ein.202 Primär bestimmt sich die Zulässigkeit von Datenverarbeitungen nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG bei Vorliegen eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses.203 § 28 Abs. 1 Satz 1 Nr. 2 BDSG findet nur dann Anwendung, wenn die vertraglichen Schutzpflichten nicht verletzt werden. Die vertraglichen Schutzpflichten können bei Dienstverträgen zwischen Arzt und Patient, Anwalt und Mandant und bei Bankverträgen verletzt werden.204 § 28 Abs. 1 Satz 1 Nr. 2 BDSG gestattet aber auch dann die Datenübermittlung, wenn zwar ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis, das Voraussetzung für die Anwendung von § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist, vorliegt, die Übermittlung aber nicht für die Begründung, Durchführung oder Beendigung von rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnissen mit dem Betroffenen erforderlich ist.205 bb) Rechtsgeschäftliche oder rechtsgeschäftsähnliche Schuldverhältnisse (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG) § 28 Abs. 1 Satz 1 Nr. 1 BDSG ermöglicht die Übermittlung von personenbezogenen Daten, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Das Unternehmen darf dann die Kundendaten an den Cloud-Anbieter übermitteln, wenn es für die Durchführung des Vertrags zwischen Unternehmen und Kunden erforderlich ist. 201 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 14; Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 57; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 11; Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 53 f. 202 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 53; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 108. 203 Gola / Schomerus, BDSG, § 28 Rn. 9; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 46; Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 54 f. 204 Gola / Schomerus, BDSG, § 28 Rn. 9. 205 Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 54.
116
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Im Rahmen von § 28 Abs. 1 Satz 1 Nr. 1 BDSG erfolgt keine einzelfallbezogene Interessenabwägung. Der Gesetzgeber geht davon aus, dass die betroffenen Interessen nicht kollidieren. Es beurteilt sich nach objektiven Kriterien, ob die Kenntnis der Daten für die auslagernde Stelle für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses notwendig ist.206 § 28 Abs. 1 Satz 1 Nr. 1 BDSG betrifft das Vertragsverhältnis zwischen dem Betroffenen und der verantwortlichen Stelle / dem Unternehmen. Eine Auslagerung der Kundendaten ist aber meist nicht nötig, um die Pflichten aus dem Vertrag zu erfüllen. Das Unternehmen, das die Kundendaten auslagern möchte, könnte vorbringen, dass die Auslagerung zwingend wirtschaftlich notwendig für die Ausführung seines Kerngeschäftes sei. Diese Argumentation ist aber nicht erfolgversprechend, da dem Unternehmen weiterhin die Möglichkeit bleibt, die Kundendaten „offline“ in den eigenen Geschäftsräumen oder auf unternehmensinternen Servern zu verwalten.207 Somit ist die Auslagerung von Kundendaten nicht für die Begründung, Durchführung oder Beendigung des Vertrags zwischen Kunde und Unternehmen erforderlich. § 28 Abs. 1 Satz 1 Nr. 1 BDSG scheidet als Erlaubnisnorm für die Auslagerung der Kundendaten aus.208 cc) Wahrung berechtigter Interessen (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG) Bei einer Auslagerung von Kundendaten an einen Cloud-Anbieter kann § 28 Abs. 1 Satz 1 Nr. 2 BDSG Erlaubnisnorm sein, wenn die Übermittlung der Daten zur Wahrung berechtigter Interessen der verantwortlichen Stelle / des Unternehmens erforderlich ist, und wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Kunden an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Da dieser Erlaubnistatbestand auf die Interessen der verantwortlichen Stelle abzielt, kommt eine Rechtfertigung hierfür bei der Übermittlung von Kundendaten grundsätzlich in Betracht.
206 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 15 ff.; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 19; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 47; enger dagegen Gola / Schomerus, BDSG, § 28 Rn. 17. 207 So auch Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 39; Nielen / Thum, K&R 2006, 171 (173). 208 So auch Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 289 f. Rn. 42; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 203.
II. Datenschutzrechtliche Rechtmäßigkeit117
Der Begriff „berechtigte Interessen“ ist ein unbestimmter Rechtsbegriff.209 Es ist eine Auslegung des Begriffs nötig. Da sich die berechtigten Interessen auf die Interessen der verantwortlichen Stelle beziehen, muss der Begriff restriktiv ausgelegt werden, um den Schutz der Betroffenen durch das BDSG nicht auszuhebeln.210 Ein Interesse ist berechtigt, wenn es bei vernünftiger Erwägung durch die Sachlage gerechtfertigt ist. Es muss tatsächlich bestehen und kann rechtlicher, wirtschaftlicher, ideeller oder sonstiger Art sein, es muss aber auf jeden Fall von der Rechtsordnung gebilligt werden.211 Ein Interesse ist jedenfalls berechtigt, wenn der verantwortlichen Stelle ohne die Übermittlung ein erheblicher Nachteil entstünde.212 Berechtigte Interessen können bei der Nutzung von Cloud-Diensten durch ein Unternehmen wirtschaftliche Interessen, wie Kostenersparnis durch Auslagerung der Kundendaten in die Cloud, sein.213 Daneben kommen als berechtigte Interessen i. S. v. § 28 Abs. 1 Satz 1 Nr. 2 BDSG z. B. die Verbesserung der Flexibilität der Datenverarbeitung, Beschleunigung der Datenverarbeitung oder Erleichterung durch ubiquitäre Nutzung in Betracht.214 Auch die Schaffung einer effektiven, flexiblen und einer die Wettbewerbsfähigkeit ermöglichenden Unternehmensinfrastruktur kann ein taugliches Interesse des Unternehmens sein.215 Das Auslagern der Kundendaten in die Cloud muss für die Wahrung der berechtigten Interessen des Unternehmens erforderlich sein. Bei § 28 Abs. 1 Satz 1 Nr. 2 BDSG wird wie bei § 28 Abs. 1 Satz 1 Nr. 1 BDSG im Rahmen der Prüfung der Erforderlichkeit auf rein objektive Kriterien abgestellt.216 Etwas ist dann erforderlich, wenn das angestrebte Ziel mit anderen Mitteln nicht oder nicht auf zumutbare Weise erreicht werden kann.217 Bei 209 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 98; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 55. 210 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 47 f.; Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 98. 211 Gola / Schomerus, BDSG, § 28 Rn. 24; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 47; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 55; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 59; Kremer / Sander, ITRB 2014, 187; Wybitul / Patzak, RDV 2011, 11 (12). 212 Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 47. 213 Niemann / Paul, K&R 2009, 444 (449); Splittgerber / Rockstroh, BB 2011, 2179 (2181); a. A.: Nägele / Jacobs, ZUM 2010, 281 (290); Schulz, MMR 2010, 75 (78); einschränkend Gaul / Koehler, BB 2011, 2229 (2233); Weichert, DuD 2010, 679 (683). 214 Gaul / Koehler, BB 2011, 2229 (2232). 215 Niemann / Paul, K&R 2009, 444 (449); Opfermann, ZEuS 2012, 121 (138). 216 Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 50. 217 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 48; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 50; Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 108.
118
C. Auslagerung von Kunden- und Personaldaten in die Cloud
der Frage der Erforderlichkeit spielt auch die Zumutbarkeit des Kostenaufwands eine Rolle.218 Derzeit gibt es für kleine und mittelständische Unternehmen keinen kostengünstigeren Weg, Daten auszulagern, als die Nutzung eines Cloud-Dienstes. Die Auslagerung ist für das Unternehmen daher zur Wahrung berechtigter Interessen, also z. B. Kostenersparnis, erforderlich. Auf einer zweiten Stufe der Prüfung von § 28 Abs. 1 Satz 1 Nr. 2 BDSG muss zusätzlich eine Abwägung zwischen den Interessen des Unternehmens und den Interessen seiner Kunden erfolgen.219 Die Interessenabwägung ist in drei Schritten durchzuführen. Zunächst müssen die Interessen der verantwortlichen Stelle festgestellt und gewichtet werden, dann die Interessen der betroffenen Person. Schließlich müssen die Interessen gegenübergestellt werden und es muss geprüft werden, welche Interessen größeres Gewicht haben.220 Der BGH hat diese Interessenabwägung konkretisiert. Bei der Interessenabwägung sind „Art, Inhalt und Aussagekraft der beanstandeten Daten an den Aufgaben und Zwecken zu messen, denen die Speicherung dient.“221 Prüfungsmaßstab ist der Verhältnismäßigkeitsgrundsatz.222 Da die Prüfung der Geeignetheit und Erforderlichkeit schon anhand der übrigen Tatbestandsmerkmale des § 28 Abs. 1 Satz 1 Nr. 2 BDSG erfolgt, ist im Rahmen der Interessensabwägung nur noch eine Angemessenheitsprüfung durchzuführen.223 Bei einer „Gleichgewichtigkeit“ der Interessen des Unternehmens und des Kunden darf das Unternehmen die Kundendaten nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG übermitteln.224 Ob das Interesse des Unternehmens an der Kostenersparnis, der Flexibilität der Datenverarbeitung und der Konzentration auf die Kernkompetenz das Interesse des Betroffenen am Schutz seiner Daten überwiegt, muss eine Interessenabwägung im Einzelfall zeigen.225
218 Plath,
in: Plath (Hrsg.), BDSG, § 28 Rn. 50. in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 64; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 40. 220 VG Münster, Urteil vom 16.07.2009 – 13 K 372 / 06.O, DuD 2010, 53 ff.; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 66. 221 BGH, Urteil vom 17.12.1985 – VI ZR 244 / 84, NJW 1986, 2505 (2506). 222 BGH, Urteil vom 17.12.1985 – VI ZR 244 / 84, NJW 1986, 2505 (2506); Opfermann, ZEuS 2012, 121 (138). 223 Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 54. 224 Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 64; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 69. 225 Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 125; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 62; Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1224 f. Rn. 64; Foitzick / Plankemann, CCZ 2015, 180 (181); Splittgerber / Rockstroh, BB 2011, 2179 (2182). 219 Wolff,
II. Datenschutzrechtliche Rechtmäßigkeit119
(1) Berechtigte Interessen des Unternehmens Auf der einen Seite steht bei § 28 Abs. 1 Satz 1 Nr. 2 BDSG das berechtigte Interesse der verantwortlichen Stelle / des Unternehmens an der Datenverarbeitung durch Dritte / dem Cloud-Anbieter. Wie bereits oben226 dargelegt kann das berechtigte Interesse des Unternehmens in der Kosteneinsparung liegen, die es dadurch erzielen kann, dass es die Kundendaten nicht selbst lokal verarbeitet, sondern an einen Cloud-Anbieter auslagert. Auch die Erhöhung der Flexibilität der Datenverarbeitung kann ein berechtigtes Interesse des Unternehmens darstellen. Je nach Anzahl der Kunden kann das Unternehmen Ressourcen vom Cloud-Anbieter hinzubuchen oder wieder verringern. Daneben ist das Interesse des Unternehmens auch berechtigt, wenn es sich voll und ganz auf seine Kernkompetenzen konzentrieren möchte und möglichst wenig Aufwand mit der Umsetzung der Auslagerung von Kundendaten zu tun haben möchte. (2) Schutzwürdige Interessen des Kunden Auf der anderen Seite hat der Kunde ein schutzwürdiges Interesse am Schutz seiner personenbezogenen Daten. Das „schutzwürdige Interesse des Betroffenen“ ist wiederum ein unbestimmter Rechtsbegriff, der durch Auslegung ausgefüllt werden muss.227 Hinter den schutzwürdigen Interessen des Betroffenen steht zum einen der Zweck des BDSG nach § 1 Abs. 1 BDSG und zum anderen das Recht des Einzelnen auf informationelle Selbstbestimmung i. S. v. Art. 2 Abs. 1 GG i. V. m. Art. 1 GG.228 Der Unternehmenskunde hat Interesse an einem restriktiven Umgang mit seinen Daten durch das Unternehmen. Der Kunde kennt weder die Art noch den Umfang der Auslagerung an den Cloud-Anbieter. Darüber hinaus kann der Unternehmenskunde auch nicht die Vertrauenswürdigkeit des Cloud-Anbieters einschätzen.229 (3) G egenüberstellung der betroffenen Interessen des Unternehmens und des Kunden Für die Beantwortung der Frage, ob durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG die Auslagerung von Kundendaten an einen Cloud-Anbieter gerechtfertigt 226 Siehe
dazu C. II. 2. c) cc). in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 62. 228 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 52; Gola / Schomerus, BDSG, § 28 Rn. 26; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 65; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 40 f. 229 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 40. 227 Taeger,
120
C. Auslagerung von Kunden- und Personaldaten in die Cloud
werden kann, müssen die betroffenen Interessen des Unternehmens und des Kunden im Rahmen einer Abwägung gegenüber gestellt werden. Eine pauschale Aussage, ob die Interessen des Unternehmens oder die Interessen des Kunden als gewichtiger zu bewerten sind, kann nicht getroffen werden. Vielmehr kommt es bei der Gewichtung im Einzelfall auf bestimmte Kriterien an. Diese Kriterien können der Verarbeitungszweck, die Speicherdauer und die Art der Daten und somit das Maß des Eingriffs in das Persönlichkeitsrecht des Kunden bzw. die Sensibilität der Daten sein.230 Daneben können beispielsweise auch die Größe des Unternehmens, die Transparenz der Verarbeitung und die Größe und die Vertrauenswürdigkeit des CloudAnbieters die Interessenabwägung beeinflussen. (a) Verarbeitungszweck Der Verarbeitungszweck hat Einfluss auf die Rechtmäßigkeit der Auslagerung. Bei der Auslagerung der Kundendaten an einen Cloud-Anbieter soll allein die Verwaltung der Kundendaten durch den Cloud-Anbieter erfolgen. Der Zweck der Verarbeitung ist grundsätzlich derselbe, wie wenn das Unternehmen die Verwaltung der Kundendaten selbst lokal in den eigenen Räumlichkeiten oder durch ein eigenes Rechenzentrum durchführen würde. Der Verarbeitungszweck bei der Auslagerung von Kundendaten in die Cloud gibt nicht den Ausschlag dafür, dass die schutzwürdigen Interessen des Kunden überwiegen. (b) Dauer der Speicherung Die Dauer der Speicherung der Kundendaten beim Cloud-Anbieter ist ein weiteres Kriterium für die Interessenabwägung. Allerdings hängt die Speicherdauer nicht vom Cloud-Anbieter, sondern davon ab, welche Regelungen das Unternehmen und der Kunde in ihrem Vertrag bezüglich der Speicherdauer getroffen haben. Meist erfolgt die Speicherung der Kundendaten so lange, bis die Daten zur Erfüllung der Aufgabe des Unternehmens nicht mehr benötigt werden und so aufgrund des Zweckbindungsgrundsatzes nach § 35 Abs. 2 Nr. 3 BDSG zu löschen sind.231 Bei der Auslagerung von Kundendaten im Rahmen des Cloud Computing gibt das Kriterium der Spei230 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 72 f.; Simitis, in: Simitis (Hrsg.), BDSG, § 28 Rn. 131 f.; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 64. 231 Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 254.
II. Datenschutzrechtliche Rechtmäßigkeit121
cherdauer keinen Ausschlag für die Abwägung zwischen den Interessen des Unternehmens und denen des Kunden. (c) Art bzw. Sensibilität der ausgelagerten Daten Die Art bzw. die Sensibilität der ausgelagerten Daten hat einen Einfluss auf die Interessenabwägung. Je sensibler die ausgelagerten Daten sind, desto eher ist von einem Vorrang des schutzwürdigen Interesses des Kunden auszugehen. Das BDSG sieht einen typengestuften Datenschutz vor: Es gibt einfache Daten, wie den Namen und die Adresse. Außerdem kennt das BDSG gewichtige personenbezogene Daten, wie Kontodaten und Daten, die einem Berufsgeheimnis unterliegen, aber keine sensitiven Daten i. S. v. § 3 Abs. 9 BDSG sind. Ferner gibt es Persönlichkeitsdaten nach § 4d Abs. 5 Nr. 2 BDSG, wie Daten mit Diskriminierungsgefahr, Daten zu strafrechtlichen Verurteilungen, umfangreich verknüpfte Daten und Daten mit erhöhter Gefahr unzulässiger Zugriffe. Am schutzwürdigsten sind schließlich besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG.232 Der Grad der Schutzwürdigkeit der Daten bestimmt also die Zulässigkeit der Auslagerung. Für sensitive Daten i. S. v. § 3 Abs. 9 BDSG gelten sogar spezielle Regelungen in § 28 Abs. 6 bis 9 BDSG. Kundendaten sind wohl den einfachen Daten und den Persönlichkeitsdaten zuzuordnen. Gewöhnlich sind Name und Adresse des Kunden in der Kundendatenbank gespeichert. Je nach Branche des Unternehmens können aber auch die Kontodaten des Kunden in der Kundendatenbank gespeichert werden. Werden nur Name, Adresse und Kontodaten des Kunden ausgelagert, überwiegen hier eher die berechtigten Interessen des Unternehmens. (d) Größe des auslagernden Unternehmens Auch die Größe des auslagernden Unternehmens kann ein Kriterium für die Interessenabwägung sein. Bei großen und umsatzstarken Unternehmen darf von den Kunden erwartet werden, dass die Unternehmen eine eigene ITAbteilung bzw. ein eigenes Rechenzentrum haben. Der Kunde kann von diesen Unternehmen erwarten, dass seine personenbezogenen Daten lokal gespeichert werden. Dagegen ist es nicht üblich, dass kleine und mittelständische Unternehmen eine eigene IT-Abteilung bzw. ein eigenes Rechenzentrum haben. Die Auslagerung der Kundendaten an einen Cloud-Anbieter ist für diese Unternehmen eine Möglichkeit, die Kundenverwaltung möglichst kostengünstig durchzuführen und sich auf die Kernkompetenzen konzentrieren zu können. Lagert somit ein kleines oder mittelständisches Unternehmen sei232 Kramer,
in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 72.
122
C. Auslagerung von Kunden- und Personaldaten in die Cloud
ne Kundendaten in die Cloud aus, überwiegen nicht die schutzwürdigen Interessen des Kunden. Besitzt dagegen ein großes Unternehmen nicht eine eigene IT-Abteilung bzw. ein eigenes Rechenzentrum für die Verarbeitung der Kundendaten, sondern lagert die Kundendaten an einen Public Cloud-Anbieter aus, kann das den Ausschlag geben, dass die schutzwürdigen Interessen des Kunden die berechtigten Interessen des Unternehmens überwiegen. (e) Transparenz der Datenverarbeitung Die Interessenabwägung kann zugunsten des Unternehmens erfolgen, wenn das Unternehmen eine offene Informationspolitik gegenüber dem Kunden verfolgt.233 Das auslagernde Unternehmen könnte beispielsweise den Kunden darüber informieren, bei welchem Cloud-Anbieter seine personenbezogenen Daten gespeichert sind. (f) Größe und Vertrauenswürdigkeit des Cloud-Anbieters Die Größe und die Vertrauenswürdigkeit des Cloud-Anbieters, an den die Kundendaten ausgelagert werden, kann ebenfalls Einfluss auf die Interessenabwägung haben. Gerade bei den großen Cloud-Anbietern herrscht ein hohes Sicherheitsniveau. Die Daten der Kunden sind meist auf den Servern der großen Cloud-Anbieter besser vor Angriffen geschützt, als wenn kleine und mittelständische Unternehmen die Kundendaten selbst verwalten. Je vertrauenswürdiger der Cloud-Anbieter ist, umso eher fällt die Interessenabwägung zugunsten des Unternehmens aus. Weist der Cloud-Anbieter Zertifikate vor, die ihm die Einhaltung von technischen und organisatorischen Maßnahmen der Datensicherheit bestätigen, erhöht dies seine Vertrauenswürdigkeit.234 (g) Interessenabwägung zugunsten des Unternehmens Die Auslagerung von Kundendaten an einen Cloud-Anbieter mit Sitz in Deutschland im Rahmen einer Übermittlung ist gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig, wenn die Interessenabwägung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG zugunsten des Unternehmens ausfällt, etwa wenn es einen verlässlich auftretenden Cloud-Anbieter wählt, mit diesem eine klare Datenschutzvereinbarung schließt und es sich bei den ausgelagerten 233 So auch Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1124 f. Rn. 64. 234 So auch Opfermann, ZEuS 2012, 121 (138).
II. Datenschutzrechtliche Rechtmäßigkeit123
Daten nicht um sensible Daten handelt.235 Außerdem fällt die Interessenabwägung zugunsten des Unternehmens aus, wenn der Cloud-Anbieter ähnliche Sicherheitsmaßnahmen trifft, wie dies im Rahmen der Auftragsdatenverarbeitung vorgeschrieben ist236 und wenn das Unternehmen einen vertrauenswürdigen Cloud-Anbieter auswählt und eine offene Informationspolitik verfolgt.237 dd) Allgemein zugängliche Daten (§ 28 Abs. 1 Satz 1 Nr. 3 BDSG) § 28 Abs. 1 Satz 1 Nr. 3 BDSG kommt als Erlaubnistatbestand für die Auslagerung von Kundendaten in die Cloud nicht in Frage, da die ausgelagerten personenbezogenen Kundendaten in der Regel nicht öffentlich zugänglich sind. d) Personaldaten: § 32 Abs. 1 Satz 1 BDSG bzw. § 28 Abs. 1 Satz 1 Nr. 2 BDSG Als Rechtfertigung für die Auslagerung von Personaldaten kommt vorrangig § 32 Abs. 1 Satz 1 BDSG in Betracht. Personenbezogene Daten eines Beschäftigten dürfen gem. § 32 Abs. 1 Satz 1 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Wenn das Unternehmen Personaldaten auslagern möchte, müssen zwei Voraussetzungen für die datenschutzkonforme Auslagerung vorliegen. Erstens muss die Erhebung, Verarbeitung oder Nutzung im Rahmen der Abwicklung des Beschäftigungsverhältnisses erfolgen. Zweitens muss auch der 235 So auch Brennscheidt, Cloud Computing und Datenschutz, S. 140 ff.; Giedke, Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, S. 237; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 73 f.; Niemann / Paul, K&R 2009, 444 (449); Opfermann, ZEuS 2012, 121 (138); Splittgerber / Rockstroh, BB 2011, 2179 (2182); a. A. Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 114; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 219; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 107 ff. 236 Conrad / Strittmatter, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 961 Rn. 182. 237 So auch Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1124 f. Rn. 64.
124
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Grundsatz der Verhältnismäßigkeit, der in § 32 Abs. 1 Satz 1 BDSG schwach mit dem Wort „erforderlich“ umschrieben wird, von dem Unternehmen eingehalten werden.238 Der Verwendungszweck grenzt die Daten ein, deren Verarbeitung durch den Erlaubnistatbestand des § 32 Abs. 1 Satz 1 BDSG gedeckt ist. Fraglich ist, ob bei der Auslagerung der Personaldaten in die Cloud die Übermittlung für die Zwecke des Beschäftigungsverhältnisses erfolgt oder für andere Zwecke. Nur wenn die Übermittlung für Zwecke des Beschäftigungsverhältnisses erfolgt, kann sie auf § 32 Abs. 1 Satz 1 BDSG gestützt werden. Anderenfalls kommt ggf. § 28 Abs. 1 Satz 1 Nr. 2 BDSG als Erlaubnistatbestand in Betracht.239 Welche Zwecke sich unter die „Zwecke des Beschäftigungsverhältnisses“ nach § 32 Abs. 1 Satz 1 BDSG fassen lassen, ist umstritten. Eine restriktive Ansicht versteht darunter nur die Verwendung von Daten, die der Erfüllung von Pflichten aus dem Arbeitsvertrag dient.240 Dagegen legt eine Ansicht § 32 BDSG extensiv aus und fasst darunter jede Verarbeitung, die irgendeinen Zusammenhang mit dem Beschäftigungsverhältnis aufweist.241 Nach einer vermittelnden Ansicht muss der Zweck der Verarbeitung in der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses liegen. Unternimmt das Unternehmen eine Verarbeitung zu einem anderen Zweck, sei nach dieser Ansicht § 32 BDSG nicht einschlägig.242 Die Auslagerung von Personaldaten durch das Unternehmen in die Cloud wäre dann gem. § 32 BDSG zu rechtfertigen, wenn man der § 32 BDSG extensiv auslegenden Ansicht folgt. Folgt man dagegen der restriktiven oder vermittelnden Ansicht, ist die Auslagerung nicht nach § 32 BDSG zu rechtfertigen, sondern allenfalls nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Es ist jedoch der vermittelnden Ansicht zu folgen. Die restriktive Ansicht übersieht, dass etwa bei dem Umgang mit Bewerberdaten noch kein Vertragsverhältnis zwischen Unternehmen und Bewerber besteht. Die § 32 238 BT-Drs. 16 / 13657, S. 21 verweist auf BAG, Urteil vom 07.09.1995 – 8 AZR 828 / 93, NZA 1996, 637 ff.; Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 52; Stamer / Kuhnke, in: Plath (Hrsg.), BDSG, § 32 Rn. 17 f.; Zöll, in: Taeger / Gabel (Hrsg.), BDSG, § 32 Rn. 18; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 426 f. Rn. 48; Gaul / Koehler, BB 2011, 2229 (2231). 239 Gola / Schomerus, BDSG, § 32 Rn. 45. 240 Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 36; Joussen, NZA 2010, 254 (258). 241 Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 36; Schmidt, DuD 2010, 207 (209). 242 Franzen, in: Erfurter Kommentar zum Arbeitsrecht, § 32 BDSG Rn. 4; Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 36; Gola / Jaspers, RDV 2009, 212 (214).
II. Datenschutzrechtliche Rechtmäßigkeit125
BDSG extensiv auslegende Ansicht führt zu einer uferlosen Ausweitung des Beschäftigtendatenschutzes in § 32 BDSG. Es gibt auch im Rahmen des Beschäftigungsverhältnisses Verarbeitungen zu anderen Zwecken, die keiner besonderen Regelung für Beschäftigte bedürfen. Die vermittelnde Ansicht führt zum besten Ausgleich, da sie unter § 32 BDSG Vorgänge fasst, die die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses direkt betreffen, aber solche Datenverwendungen ausschließt, bei denen die „allgemeinen“ Normen des § 28 BDSG einschlägig sein können.243 Die Auslagerung von Personaldaten unterliegt nicht § 32 Abs. 1 Satz 1 BDSG, sondern § 28 Abs. 1 Satz 1 Nr. 2 BDSG.244 Sie kann ebenso wie die Auslagerung von Kundendaten gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG gerechtfertigt sein, wenn die Übermittlung der Daten zur Wahrung berechtigter Interessen der verantwortlichen Stelle / des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Arbeitnehmer an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Das berechtigte Interesse an der Auslagerung der Daten ist bei den Personaldaten genauso wie bei den Kundendaten gegeben. Solange keine sensiblen Daten der Arbeitnehmer ausgelagert werden, überwiegen im Rahmen der Interessenabwägung die schutzwürdigen Belange der Arbeitnehmer grundsätzlich auch nicht die berechtigten Interessen des Unternehmens. Die personenbezogenen Daten der Arbeitnehmer dürfen – soweit es sich nicht um sensible Daten i. S. v. § 3 Abs. 9 BDSG handelt – gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG an einen Cloud-Anbieter mit Sitz in Deutschland ausgelagert werden, wenn im Einzelfall die Interessenabwägung zugunsten des Unternehmens ausfällt. e) Besondere Arten personenbezogener Daten (§ 28 Abs. 6 bis 9 BDSG) In der Personalakte können beispielsweise Angaben über die Religionszugehörigkeit, Vermerke über Krankheitstage und Hinweis auf die Schwerbehinderteneigenschaft des Arbeitnehmers stehen.245 Diese Angaben sind besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG. In Kundendatenbanken wird man wohl selten auf derartige Daten stoßen. Bei diesen sensiblen Daten sind die Absätze 6 bis 9 des § 28 BDSG die leges speciales für die Rechtfertigung einer Auslagerung der Daten in die Cloud. auch Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 36. für die Auslagerung von Personaldaten im Konzern, die aufgrund des fehlenden Konzernprivilegs vergleichbar ist mit der Auslagerung von Personaldaten an einen Cloud-Anbieter Zöll, in: Taeger / Gabel (Hrsg.), BDSG, § 32 Rn. 40. 245 Grützmacher, ITRB 2007, 183 (184); Jandt / Nebel, NJW 2013, 1570 (1571); Wybitul / Rauer, ZD 2012, 160 (162). 243 So 244 So
126
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Liegen besondere Arten personenbezogener Daten vor, ist § 28 Abs. 1 BDSG nicht anwendbar. Als Rechtfertigungstatbestand für das Auslagern der sensiblen Daten in die Cloud kommt allein § 28 Abs. 6 Nr. 3 BDSG in Betracht. § 28 Abs. 6 Nr. 3 BDSG ist von allgemeiner Bedeutung für Datenerhebungen, -verarbeitungen und -nutzungen, die im Rahmen von Vertragsverhältnissen oder vertragsähnlichen Vertrauensverhältnissen erfolgen.246 Nach § 28 Abs. 6 Nr. 3 BDSG ist das Erheben, Verarbeiten und Nutzen von besonderen Arten personenbezogener Daten für eigene Geschäftszwecke zulässig, wenn dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt. § 28 Abs. 6 Nr. 3 BDSG modifiziert den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 1 BDSG.247 Im Rahmen von § 28 Abs. 6 Nr. 3 BDSG ist eine Interessensabwägung durchzuführen zwischen Verwendungs- und Geheimhaltungsinteresse.248 Der Schutz sensibler Daten ist aber höher zu bewerten als der Schutz sonstiger Daten.249 Die Auslagerung von Daten dient nicht zur Geltendmachung, Ausübung oder Verteidigung von Ansprüchen des Unternehmens. Deshalb kann sich das Unternehmen nicht auf § 28 Abs. 6 Nr. 3 BDSG bei der Auslagerung von sensiblen Daten der Kunden und Arbeitnehmer berufen. Die Auslagerung besonderer Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG eines Unternehmens an einen Cloud-Anbieter im Rahmen einer Übermittlung ist nicht zulässig. f) Einschlägige Rechtsgrundlage für die Auslagerung von Kundendaten und Personaldaten im nationalen Kontext Die Auslagerung von Kundendaten an einen deutschen Cloud-Anbieter ist grundsätzlich gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig, sofern die Interessenabwägung im Rahmen dieses Erlaubnistatbestandes zugunsten der 246 Gola / Schomerus, BDSG, § 28 Rn. 77; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 247. 247 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 174; Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 149. 248 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 175; Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 28 Rn. 148; Plath, in: Plath (Hrsg.), BDSG, § 28 Rn. 212; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 258. 249 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 28 Rn. 175; Wolff, in: Wolff / Brink (Hrsg.), BDSG, § 28 Rn. 258.
II. Datenschutzrechtliche Rechtmäßigkeit127
berechtigten Interessen des Unternehmens ausfällt. Die Auslagerung von Personaldaten ist aufgrund des zugrunde liegenden Zwecks nicht nach § 32 BDSG zu rechtfertigen, sondern vielmehr – ebenso wie die Auslagerung der Kundendaten – nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Sofern auch hier die Interessenabwägung zugunsten des Unternehmens ausfällt, kann eine Auslagerung der Personaldaten an einen deutschen Cloud-Anbieter gerechtfertigt werden. Dem Unternehmen ist es nicht möglich, die Auslagerung sensibler Daten i. S. v. § 3 Abs. 9 BDSG in die Cloud auf § 28 Abs. 6 bis 9 BDSG zu stützen. Wenn das Unternehmen datenschutzkonform nur nicht-sensitive Daten von den Arbeitnehmern auslagern kann, ist es für das Unternehmen wohl sinnvoller, vollständig auf die Auslagerung von Personaldaten zu verzichten und nur die Kundendaten auszulagern. Die Personaldaten muss das Unternehmen dann selbst lokal verwalten. Eine gesplittete Datenbank, bei der die nicht-sensitiven Daten an den Cloud-Anbieter übermittelt werden, die sensitiven Daten aber lokal vom Unternehmen verarbeitet werden, ist nicht sinnvoll und ist kostenaufwändiger, als wenn vollständig auf die Auslagerung der Personaldaten verzichtet würde. g) Erlaubnistatbestände der DS-GVO Art. 7 lit. a) bis lit. f) DS-RL regelt Erlaubnistatbestände, die bestimmen, wann die Verarbeitung personenbezogener Daten erfolgen darf. Auch die DS-GVO sieht in Art. 6 Abs. 1 lit. a) bis lit. f) DS-GVO Erlaubnistatbestände vor, die den Erlaubnistatbeständen der DS-RL sehr ähnlich sind. Da wegen der unmittelbaren Geltung der DS-GVO diese Erlaubnistatbestände ohne Umsetzungsakt für alle EU-Mitgliedstaaten gelten und grundsätzlich durch die nationalen Gesetzgeber nicht verändert werden können, werden die sehr ausdifferenzierten Erlaubnistatbestände des BDSG, die beispielsweise in § 28a BDSG und § 28b BDSG spezielle Regelungen zu Datenübermittlungen an Auskunfteien und zum Scoring treffen, durch sehr allgemein gehaltene Erlaubnistatbestände der DS-GVO ersetzt.250 Der Kommissionsentwurf ermächtigt in Art. 6 Abs. 5 DS-GVO-KOM die Kommission zum Erlass von delegierten Rechtsakten, um die Anwendung von Art. 6 Abs. 1 lit. f) DS-GVO-KOM für verschiedene Bereiche und Verarbeitungssituationen näher zu regeln. Im Rat-Entwurf findet sich diese Ermächtigung der Kommission nicht mehr. Der Rat war der Meinung, dass der Erlaubnistatbestand des Art. 6 Abs. 1 lit. f) DS-GVO durch nationale Behörden, nationale Gerichte und letztlich durch den EuGH konkretisiert werden muss.251 250 Eckhardt / Kramer, DuD 2013, 287 (290); Roßnagel / Kroschwald, ZD 2014, 495 (497); Roßnagel / Nebel / Richter, ZD 2015, 455 (460). 251 Roßnagel / Nebel / Richter, ZD 2015, 455 (457).
128
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Da sich der Kommissionsentwurf letztlich nach dem Trilog in der endgültigen Fassung der DS-GVO nicht durchgesetzt hat, werden überall dort, wo ein Erlaubnistatbestand eine Interessenabwägung verlangt, die nationalen Behörden und Gerichte die jeweilige Datenschutzkultur des jeweiligen Landes bei der Interessenabwägung berücksichtigen. Das wird dazu führen, dass trotz der Wahl des Instruments der Verordnung der Datenschutz in den Mitgliedstaaten der EU nicht einheitlich sein wird.252 Zwar erlaubt Art. 6 Abs. 2 DS-GVO, dass die nationalen Gesetzgeber speziellere Regelungen als die der DS-GVO treffen dürfen. Diese eigenen Regelungen der Mitgliedstaaten sind aber nur im Rahmen der Tatbestände des Art. 6 Abs. 1 lit. c) und lit. e) möglich. Für die Übermittlung von Daten in die Cloud wird Art. 6 Abs. 1 lit. f) DS-GVO von entscheidender Bedeutung sein. Art. 6 Abs. 1 lit. f) DS-GVO setzt für die Bestimmung der Rechtmäßigkeit der Datenverarbeitung eine Interessenabwägung voraus. Nach Art. 6 Abs. 1 lit. f) DS-GVO ist auch das berechtigte Interesse eines Dritten relevant, also nicht nur das Interesse des für die Verarbeitung Verantwortlichen. Für die Datenverarbeitung im Beschäftigtenkontext enthält Art. 88 Abs. 1 DS-GVO eine Öffnungsklausel für die Mitgliedstaaten.253 Zu den in Art. 88 Abs. 1 DS-GVO genannten Zwecken können die Mitgliedstaaten durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifische Regelungen erlassen. Diese Regelungen sollen die Mitgliedstaaten gem. Art. 88 Abs. 3 DS-GVO spätestens bis zum 25. Mai 2018 der EU-Kommission melden. Alle späteren Änderungen sind unverzüglich mitzuteilen. Öffnungsklauseln sind aber generell sehr eng auszulegen. Regelungen, die den Normen der DS-GVO widersprechen, sind daher nicht erlaubt.254 Es lässt sich noch nicht vorhersagen, inwiefern der nationale Gesetzgeber im Rahmen des Beschäftigtendatenschutzes tätig wird und ob § 32 BDSG erhalten bleibt. Es ist aber anzunehmen, dass der nationale Gesetzgeber versuchen wird, den Beschäftigtendatenschutz wie bisher zu regeln. 3. Einwilligung gem. § 4a BDSG Die Einwilligung ist in § 4a BDSG geregelt. Liegt eine Einwilligung des Betroffenen vor, dann ist für die Übermittlung der Daten des Kunden bzw. des Arbeitnehmers kein weiterer Erlaubnistatbestand erforderlich. Sie ist mit 252 Buchner, DuD 2016, 155 (159); Eckhardt / Kramer, DuD 2013, 287 (290); Roßnagel / Kroschwald, ZD 2014, 495 (497); Roßnagel / Nebel / Richter, ZD 2015, 455 (460). 253 Siehe ausführlich dazu Schüßler / Zöll, DuD 2013, 639 ff. 254 Kort, DB 2016, 711 (714); Schüßler / Zöll, DuD 2013, 639 (640).
II. Datenschutzrechtliche Rechtmäßigkeit129
den sonstigen Erlaubnistatbeständen gleichwertig.255 Die Einwilligung ist ein Ausfluss des Grundrechts auf informationelle Selbstbestimmung.256 Unter Einwilligung ist eine vorherige Zustimmung i. S. v. § 183 BGB zu verstehen.257 Eine nachträgliche Zustimmung zu einer schon erfolgten Datenerhebung oder Datenverarbeitung ist nicht rechtmäßig. Die Einwilligung kann nur den Umgang mit den Daten für die Zukunft legitimieren.258 Die Einwilligung ist gem. § 4a Abs. 1 Satz 1 BDSG nur dann wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Der Betroffene ist nach § 4a Abs. 1 Satz 2 BDSG auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalls erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. § 4a Abs. 1 Satz 3 BDSG regelt, dass die Einwilligung der Schriftform bedarf, es sei denn, dass wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie nach § 4a Abs. 1 Satz 4 BDSG besonders hervorzuheben. § 4a Abs. 3 BDSG regelt die Einwilligung beim Umgang mit sensiblen Daten. Willigt der Kunde bzw. der Arbeitnehmer des auslagernden Unternehmens wirksam in die Übermittlung seiner personenbezogenen Daten an einen Cloud-Anbieter ein, benötigt das Unternehmen keinen weiteren Erlaubnistatbestand für den Datentransfer.259 a) Freiwillige Entscheidung des Betroffenen Die Einwilligung des Betroffenen muss auf einer freien Entscheidung beruhen. Grund hierfür ist, dass sich im Rechtsverkehr oft ungleiche Partner gegenüberstehen, beispielsweise ein Kunde einem großen Konzern oder ein Arbeitnehmer dem Arbeitgeber.260 Die Freiwilligkeit der Einwilligung des 255 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4a Rn. 1; Simitis, in: Simitis (Hrsg.), BDSG, § 4a Rn. 1. 256 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4a Rn. 1; Simitis, in: Simitis (Hrsg.), BDSG, § 4a Rn. 2; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 5; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 1. 257 Gola / Schomerus, BDSG, § 4a Rn. 2; Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 11; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 18; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 32. 258 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4a Rn. 4; Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 11; Simitis, in: Simitis (Hrsg.), BDSG, § 4a Rn. 27; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 32. 259 Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 1; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 84. 260 Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 35.
130
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Kunden ist meist gegeben. Die Freiwilligkeit kann aber dann fraglich sein, wenn das Unternehmen den Abschluss eines Vertrags davon abhängig macht, dass der Kunde in den Umgang mit seinen personenbezogenen Daten einwilligt (Kopplung). In derartigen Fällen ist die Einwilligung häufig nicht freiwillig, so z. B. wenn die Verweigerung der Leistung des Unternehmens eine derartig große Bedeutung für den Kunden hätte, dass er ohne großes Zögern bereit wäre, dem Unternehmen selbst die sensibelsten Informationen zu überlassen.261 Die wohl h. M. in der Literatur262 nimmt an, dass die Einwilligung des betroffenen Arbeitnehmers als Rechtfertigungsgrund für eine Datenübermittlung grundsätzlich in Frage kommt. Andere Stimmen263 zweifeln die Freiwilligkeit im Arbeitsleben wegen der Asymmetrie zwischen Arbeitgeber und Arbeitnehmer an. Die Anforderungen an die Freiwilligkeit einer Einwilligung im Rahmen eines Arbeitsverhältnisses sind wegen des dort bestehenden Abhängigkeitsverhältnisses streng zu prüfen.264 Das BVerfG hat in einem Nichtannahmebeschluss265 erwähnt, dass sich der „einzelne Arbeitnehmer […] beim Abschluss von Arbeitsverträgen typischerweise in einer Situation struktureller Unterlegenheit befindet“ und dass sich diese Unterlegenheit während des Arbeitsverhältnisses fortsetze.266 Das Vorliegen eines Über-Unterordnungsverhältnisses zwischen Arbeitgeber und Bewerber bzw. Arbeitnehmer spricht grundsätzlich gegen die Annahme, der Bewerber bzw. Arbeitnehmer könne in diesem Verhältnis eine Erklärung ohne Zwang abgeben. Der Arbeitgeber kann über die (künftige) Beschäftigung des Bewerbers bzw. Arbeitnehmers entscheiden. Der Bewerber bzw. Arbeitnehmer wird Vieles dafür tun, einen Arbeitsplatz zu erhalten bzw. seinen Arbeitsplatz nicht zu verlieren. Eine generelle, uneingeschränkte Ablehnung der Einwilligung im Beschäftigtenverhältnis ist jedoch nicht angebracht. Ein Bewerber steht sicher unter Druck, da es sein Ziel ist, für das Unternehmen arbeiten zu dürfen. Auch später im Rahmen des Arbeitsverhältnisses kann es noch zu Situationen kommen, in denen der Arbeitneh261 Taeger,
in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 56. BDSG, § 4a Rn. 22b; Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 27; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 63 ff.; Conrad, in: AuerReinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 1630 f. Rn. 296; Gaul / Koehler, BB 2011, 2229 (2233). 263 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4a Rn. 23; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 65; Däubler, CR 2005, 767 (770); Meyer, K&R 2009, 14 (17); Trittin / Fischer, NZA 2009, 343 (344). 264 Simitis, in: Simitis (Hrsg.), BDSG, § 4a Rn. 62; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 63 ff. 265 BVerfG, Beschluss vom 23.11.2006 – 1 BvR 1909 / 06, NJW 2007, 286 (287). 266 Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 65. 262 Gola / Schomerus,
II. Datenschutzrechtliche Rechtmäßigkeit131
mer nicht das Gefühl hat, frei entscheiden zu können. Es muss in diesen Fällen dennoch aber immer eine Einzelfallentscheidung getroffen werden, ob eine Einwilligung unter Zwang erfolgt ist. Die Einwilligung scheidet deshalb nicht generell im Rahmen von Arbeitsverhältnissen als Erlaubnistatbestand aus.267 Dass eine Einwilligung im Rahmen des Arbeitsverhältnisses grundsätzlich möglich sein muss, erwähnt der Gesetzgeber in BT-Drs. 16 / 13657: „Die übrigen einschlägigen allgemeinen und bereichsspezifischen Datenschutzvorschriften, die eine Datenerhebung, -verarbeitung oder -nutzung erlauben oder anordnen, werden durch § 32 [BDSG] nicht verdrängt. Auch eine Datenerhebung oder -verwendung auf der Grundlage einer freiwillig erteilten Einwilligung des Beschäftigten (§ 4a des Bundesdatenschutzgesetzes, § 22 des Kunsturhebergesetzes) wird durch § 32 [BDSG] nicht ausgeschlossen.“268 Auch das BAG hat in einer Entscheidung269 festgestellt, dass die Einwilligung eines Arbeitnehmers in die Datenerhebung und Datenverarbeitung grundsätzlich zulässig ist.270 Die Freiwilligkeit des Kunden bzw. des Arbeitnehmers sollte im Einzelfall geprüft werden. Es kann nicht generell davon ausgegangen werden, dass die Freiwilligkeit bei der Auslagerung von Kunden- bzw. Personal daten eines Unternehmers an einen Cloud-Anbieter nicht gegeben sein kann. b) Bestimmtheit Vor der Einwilligung ist der Betroffene gem. § 4a Abs. 1 Satz 2 BDSG auf den Zweck der Datenerhebung, -verarbeitung oder -nutzung hinzuweisen. Der Betroffene muss eine informierte Entscheidung über die Einwilligung treffen können.271 Das Unternehmen muss dem Betroffenen nicht nur die Daten oder die Art der Daten benennen, sondern auch die einzelnen konkreten Phasen der Datenverarbeitung.272 Unklarheiten dabei gehen zu Lasten der verantwortlichen Stelle, also des Unternehmens.273 Die Einwilligung erstreckt sich nur auf die genannte konkrete Verwendung der personenbezogenen Daten. Eine pauschale Einwilligung für jegliche künftige 267 Gola / Schomerus, BDSG, § 4a Rn. 22b; Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 27; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 69 f. 268 BT-Drs. 16 / 13657, S. 20. 269 BAG, Urteil vom 11.12.2014 – 8 AZR 1010 / 13, ZD 2015, 330 ff. 270 Kort, ZD 2016, 3 (6). 271 Brennscheidt, Cloud Computing und Datenschutz, S. 150. 272 Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 44. 273 Franzen, in: Erfurter Kommentar zum Arbeitsrecht, § 4a BDSG Rn. 1.
132
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Datenverarbeitung ist nicht möglich.274 Das auslagernde Unternehmen muss also die Kunden bzw. Arbeitnehmer auf den Zweck der Erhebung, Nutzung oder Verarbeitung hinweisen. Würde man bei der Nutzung von Cloud-Diensten verlangen, dass das auslagernde Unternehmen den Kunden bzw. Arbeitnehmern mitteilen müsste, auf welchen Servern in welchem Land ihre personenbezogenen Daten in der Cloud verarbeitet werden, wäre eine Einwilligung als Erlaubnistatbestand im Rahmen des Cloud Computing ausgeschlossen.275 Die Cloud-Anbieter können selbst nur mit Mühe nachvollziehen, welche Daten zu welchem Zeitpunkt auf welchen Servern gespeichert sind. Diese Informationen dann den Cloud-Nutzern für die von ihnen ausgelagerten Daten mitzuteilen, bringt einen erheblichen Aufwand mit sich. Ändert sich der Zweck oder werden (weitere) Unterauftragnehmer eingeschaltet, wäre die erteilte Einwilligung hinfällig. Der Betroffene müsste erneut eine Einwilligung erteilen. Dem kann das Unternehmen aber entgegenwirken, indem es eine für die Kunden bzw. Arbeitnehmer stets aktuelle Liste bereitstellt, aus der der Cloud-Anbieter und dessen eingesetzte Subunternehmer hervorgehen.276 Die Bestimmtheit der Einwilligung bei der Auslagerung von Kunden- und Personaldaten ist also problematisch. Die Anforderungen an die Bestimmtheit führen aber nicht zur Unzulässigkeit einer Einwilligung. c) Schriftform Die Einwilligung bedarf gem. § 4a Abs. 1 Satz 3 BDSG grundsätzlich der Schriftform (§§ 126, 126a BGB), soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.277 Das ist beispielsweise dann der Fall, wenn ein Wechsel der Kommunikationsform nicht praktikabel wäre. Es muss auch möglich sein, eine Einwilligung über das Internet ohne qualifizierte elektronische Signatur, die in § 126a BGB vorausgesetzt wird, abzu274 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4a Rn. 18; Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 31; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 30; Pötters, NZA 2013, 1055 (1058). 275 So auch Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 29; Selzer, DuD 2014, 470 (472). 276 Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 114; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 52 f. 277 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4a Rn. 11; Gola / Schomerus, BDSG, § 4a Rn. 29; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 33 f.; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 48; a. A. Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 13 f., der schreibt, dass die elektronische Form nach § 126a BGB den Anforderungen an die Schriftform in § 4a Abs. 1 Satz 3 BDSG nicht genügt.
II. Datenschutzrechtliche Rechtmäßigkeit133
geben. Denn wer seine Daten in einem Formular auf einer Webseite eingibt, wird nicht die Erwartungshaltung haben, dass eine Einwilligung in schriftlicher Form erfolgen muss. Die durch das Schriftformerfordernis angelegte Warnfunktion muss aber dann auf andere Weise – beispielsweise durch das Anklicken einer Klick-Box – erfüllt werden.278 Wenn die Einwilligung mit anderen Erklärungen zusammen abgegeben werden soll, dann darf die Einwilligung nicht – beispielsweise im „Kleingedruckten“ – versteckt werden.279 Der Widerruf der Einwilligung dagegen ist formlos möglich.280 Ob bei der Auslagerung der Daten in die Cloud die Schriftform der Einwilligung der Betroffenen erforderlich ist, oder ausnahmsweise z. B. durch Anklicken einer Klick-Box erfolgen kann, kommt auf die näheren Umstände an. Tritt das Unternehmen regelmäßig persönlich oder durch Briefverkehr mit den Kunden in Kontakt, ist für die Einwilligung die Schriftform erforderlich. Betreibt ein Unternehmen dagegen einen Online-Shop, ist in diesem Fall für die Einwilligung des Kunden in die Auslagerung der Daten eine andere Form, also z. B. das Anklicken einer Klick-Box, ausreichend.281 Die Einwilligung des Arbeitnehmers dagegen muss immer unter der Einhaltung der Schriftform erfolgen. Diese kann beispielsweise im Rahmen des Abschlusses des Arbeitsvertrags erfolgen. Der Arbeitgeber muss dann aber gesondert darauf hinweisen. d) Besondere Arten personenbezogener Daten Werden besondere Arten personenbezogener Daten in die Cloud ausgelagert, muss sich die Einwilligung gem. § 4a Abs. 3 BDSG ausdrücklich auch auf diese Daten beziehen, weil der Verarbeitung von sensiblen Daten ein besonderes Risiko der Benachteiligung und Diskriminierung anhaftet. Insofern genügt es nicht nur, dass sich die Einwilligung ausdrücklich auf sensible Daten bezieht, vielmehr stellt § 4a Abs. 3 BDSG auch höhere Anforderungen an den Inhalt der Einwilligung. So muss das Unternehmen den Verwendungszusammenhang klarer aufzeigen als bei „gewöhnlichen“ personenbezogenen Daten.282 Das Unternehmen muss diese Anforderungen bei 278 Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 15; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 32. 279 Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 25; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 54. 280 Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4a Rn. 40 f.; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 82; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 58. 281 So auch Brennscheidt, Cloud Computing und Datenschutz, S. 153. 282 Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 31; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 55 f.
134
C. Auslagerung von Kunden- und Personaldaten in die Cloud
der Einwilligung der Arbeitnehmer immer befolgen. Bei der Einwilligung der Kunden muss das Unternehmen den erhöhten Anforderungen dann genügen, wenn auch sensible Daten der Kunden ausgelagert werden, was selten der Fall sein dürfte. e) Widerrufsmöglichkeit Die Einwilligung kann grundsätzlich jederzeit widerrufen werden.283 Das BAG hat in seiner Entscheidung284 aber die jederzeitige Widerrufsmöglichkeit im Rahmen von Arbeitsverhältnissen eingeschränkt. Aus einem Umkehrschluss aus § 28 Abs. 3a Satz 1 BDSG a. E. ergebe sich, dass eine Einwilligung nicht generell jederzeit mit Wirkung für die Zukunft widerrufen werden könne. Es müsse vielmehr aufgrund der gegenseitigen Rücksichtnahmepflichten nach § 241 Abs. 2 BGB eine Abwägung im Einzelfall durchgeführt werden. Ein zulässiger Widerruf gilt ex nunc. Ab diesem Zeitpunkt dürfen die Daten nicht mehr gestützt auf die einst erteilte Einwilligung ausgelagert werden.285 Der Widerruf ist jedenfalls dann unproblematisch, wenn noch keine Datenerhebung, -verarbeitung oder -nutzung durch das Unternehmen erfolgt ist.286 Hat das Unternehmen die Daten des Betroffenen schon verarbeitet, muss es die Daten löschen, es sei denn es ist neben der widerrufenen Einwilligung ein anderer Erlaubnistatbestand für die Datenerhebung, -verarbeitung oder -nutzung gegeben.287 f) Konsequenzen bei Versagung der Einwilligung Es fragt sich, welche Auswirkungen die Versagung der Einwilligung für das Unternehmen hat. Für diese Frage ist zwischen zwei Szenarien zu unterscheiden. Zum einen ist zu untersuchen, welche Folgen die Versagung der Einwilligung hat, wenn ein anderer Erlaubnistatbestand für die Auslagerung (sei es für eine Übermittlung oder eine Nutzung288 im Rahmen einer Auftragsdatenverarbeitung) gegeben ist. Zum anderen sind die Folgen zu betrachten, wenn die Einwilligung versagt wird und kein anderer Erlaubnis tatbestand vorliegt. 283 Kühling,
in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 57 ff. Urteil vom 11.12.2014 – 8 AZR 1010 / 13, ZD 2015, 330 ff. 285 Gola / Schomerus, BDSG, § 4a Rn. 38; Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 71; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4a Rn. 82; Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 59. 286 Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 59. 287 Plath, in: Plath (Hrsg.), BDSG, § 4a Rn. 71. 288 Siehe dazu C. II. 5. f). 284 BAG,
II. Datenschutzrechtliche Rechtmäßigkeit135
aa) Versagung der Einwilligung bei Vorliegen eines anderen Erlaubnistatbestandes Liegt keine Einwilligung eines Kunden bzw. eines Arbeitnehmers vor, dürfen dessen Daten nicht darauf gestützt verarbeitet werden. Ist aber stattdessen ein anderer Erlaubnistatbestand einschlägig, bedarf es für die rechtmäßige Verarbeitung überhaupt nicht der Einwilligung des Betroffenen. Erhebt, verarbeitet oder nutzt das Unternehmen die personenbezogenen Daten gestützt auf den anderen Erlaubnistatbestand, würde das zu einer Verwirrung der Kunden bzw. Arbeitnehmer und zu einem extremen Vertrauensverlust in das Unternehmen führen, da die Kunden bzw. Arbeitnehmer meinen, die Datenverwendung durch das Unternehmen durch Nicht-Erteilen der Einwilligung unterbunden zu haben.289 Das Unternehmen muss den Betroffenen darauf hinweisen, falls die Datenerhebung, -verarbeitung oder -nutzung sowieso aufgrund eines Erlaubnistatbestands erlaubt wäre.290 bb) Versagung der Einwilligung bei Nicht-Vorliegen eines anderen Erlaubnistatbestandes Ist kein anderer Erlaubnistatbestand einschlägig, ist bei Fehlen einer Einwilligung eine Auslagerung der Daten nicht zulässig. Stimmt nur ein Teil der Betroffenen einer Auslagerung der Daten an den Cloud-Anbieter zu, ein anderer Teil aber nicht, dürfte das Unternehmen einen Teil der Kundenbzw. Personaldaten auslagern und einen anderen Teil nicht. Dies würde für das Unternehmen zu dem unbefriedigenden Ergebnis führen, dass eine Auslagerung der personenbezogenen Daten nicht rentabel ist, da es die Daten der nicht einwilligungsbereiten Kunden bzw. Arbeitnehmer selbst „offline“ bereitstellen muss und diese Aufteilung auch zu dem Erfordernis einer komplizierten Splittung der Datensätze führen würde.291 g) Nachträgliches Einholen der Einwilligung Möchte das Unternehmen von einer internen Verarbeitung der personenbezogenen Daten auf die Auslagerung der personenbezogenen Daten an einen Cloud-Anbieter umstellen, müssen die Kunden bzw. Arbeitnehmer erneut in die Verarbeitung bzw. Nutzung der Daten einwilligen. Die Arbeit289 Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 28 Rn. 20; Opfermann, ZEuS 2012, 121 (139). 290 Kühling, in: Wolff / Brink (Hrsg.), BDSG, § 4a Rn. 9. 291 So auch Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 356 Rn. 76; Rath / Rothe, K&R 2013, 623 (624).
136
C. Auslagerung von Kunden- und Personaldaten in die Cloud
nehmer kann das Unternehmen leicht erreichen und somit eine neue Einwilligung einholen. Bei Neukunden kann das auslagernde Unternehmen die Einwilligung in die Verträge mit diesen aufnehmen. Bei Altkunden ist es hingegen darauf angewiesen, dass diese eine Einwilligung dem Unternehmen gegenüber ausdrücklich und gesondert erteilen. Nicht alle werden diese Einwilligungserklärung abgeben. Das Unternehmen steht dann wiederum vor dem Problem, dass es zwei unterschiedliche Datensätze verwalten müsste: den Datensatz der Kunden, die eine Einwilligung erteilt haben und die das Unternehmen datenschutzkonform an den Cloud-Anbieter auslagern darf und den Datensatz der Kunden, die nicht eingewilligt haben und den das Unternehmen auch nicht in die Cloud auslagern darf. Das Pflegen von zwei Datensätzen ist für das Unternehmen aber so aufwändig und kostspielig, dass es dann eher auf die Auslagerung der Daten in die Cloud verzichten sollte.292 h) Geringe Praktikabilität der Einwilligung bei der Auslagerung von Kunden- und Personaldaten Die Einholung einer Einwilligung für die Auslagerung von Kunden- bzw. Personaldaten ist oft nicht praktikabel. Bei der Auslagerung von Personaldaten ist stets auf die Freiwilligkeit der Einwilligung zu achten. Eine rechtskonforme Auslagerung bei Verweigerung der Einwilligung und gleichzeitigem Bestehen eines Erlaubnistatbestandes würde die Kunden bzw. Arbeitnehmer verwirren und das Vertrauen in das Unternehmen schmälern. Eine nur teilweise Auslagerung von Kundendaten, nämlich bei Versagung der Einwilligung durch einen Teil der Betroffenen und Fehlen eines Erlaubnistatbestandes, ist für das Unternehmen nicht praktikabel, da es eine Aufsplittung der Datensätze der Kunden erfordern würde. i) Einwilligung gem. DS-GVO Die Einwilligung in die Datenverarbeitung wird in der DS-GVO in Art. 6 Abs. 1 lit. a) DS-GVO und Art. 7 DS-GVO geregelt. Nach Art. 6 Abs. 1 lit. a) DS-GVO erfordert die Einwilligung, dass die betroffene Person die Einwilligung in eine Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere genau festgelegte Zwecke gibt. Art. 7 DS-GVO enthält anders als § 4a Abs. 1 Satz 3 BDSG kein Schriftformerfordernis. Art. 7 Abs. 2 DS-GVO regelt nur, dass die Einwilligung 292 Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 356 Rn. 76; Brennscheidt, Cloud Computing und Datenschutz, S. 152; BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business, S. 52 f.
II. Datenschutzrechtliche Rechtmäßigkeit137
von anderen Sachverhalten klar abgegrenzt werden muss, wenn sie durch eine schriftliche Erklärung erfolgt. Das Problem, wann besondere Umstände nach § 4a Abs. 1 Satz 3 BDSG gegeben sind, damit das Schriftformerfordernis entfällt, wird sich unter Geltung der DS-GVO erledigen. In Art. 7 Abs. 3 Satz 1 DS-GVO ist – anders als in § 4a BDSG – der Widerruf der Einwilligung explizit geregelt. Die Entscheidung293 des BAG vom 11. Dezember 2014, dass bei der Frage nach der Zulässigkeit eines Widerrufs im Arbeitsverhältnis aufgrund der gegenseitigen Rücksichtnahmepflichten aus § 241 Abs. 2 BGB eine Abwägung im Einzelfall durchgeführt werden müsse, wird unter Geltung der DS-GVO keinen Bestand mehr haben können.294 Art. 7 Abs. 4 DS-GVO-KOM sah vor, dass eine Einwilligung keine wirksame Rechtsgrundlage für die Verarbeitung ist, wenn ein erhebliches Ungleichgewicht zwischen dem Betroffenen und der verantwortlichen Stelle besteht. Die Kommission führte in Erwägungsgrund 34 DS-GVO-KOM aus, dass dies insbesondere der Fall sein soll, wenn die betroffene Person in einem Abhängigkeitsverhältnis zur verantwortlichen Stelle steht, beispielsweise dann, wenn personenbezogene Daten eines Arbeitnehmers durch den Arbeitgeber im Rahmen des Beschäftigungsverhältnisses verarbeitet werden.295 Die endgültige Fassung der DS-GVO nimmt diese Anforderung in Erwägungsgrund 43 DS-GVO etwas zurück. Allerdings regelt die endgültige Fassung der DS-GVO immer noch, dass die Freiwilligkeit eingeschränkt sein kann, wenn ein eindeutiges Ungleichgewicht zwischen dem Betroffenen und dem Datenverarbeiter besteht. Deshalb fordert Art. 7 Abs. 4 DS-GVO, der ein weitreichendes Kopplungsverbot enthält, dass bei der Prüfung der Freiwilligkeit beachtet werden muss, ob die Einwilligung Bedingung für den Abschluss eines Vertrags ist, obwohl die Einwilligung in die Datenerhebung, -verarbeitung oder -nutzung für die Vertragserfüllung nicht erforderlich ist.296 Da ein eindeutiges Ungleichgewicht zwischen dem Betroffenen und dem Datenverarbeiter im Massenverkehr häufig vorkommen kann, erschwert die Regelung des Art. 7 Abs. 4 DS-GVO die Nutzung einer Einwilligung als Erlaubnistatbestand im Rechtsverkehr erheblich.297 293 BAG,
Urteil vom 11.12.2014 – 8 AZR 1010 / 13, ZD 2015, 330 ff. auch Kort, DB 2016, 711 (715). 295 Roßnagel / Kroschwald, ZD 2014, 495 (497); Wybitul / Pötters, RDV 2016, 10 (12). 296 Härting, ITRB 2016, 36 (39 f.); Kort, DB 2016, 711 (715); Spindler, DB 2016, 937 (940); Wybitul, ZD 2016, 203 (205). 297 Härting, DS-GVO, S. 98 Rn. 401; Härting, ITRB 2016, 36 (40); a. A. Buchner, DuD 2016, 155 (158). 294 So
138
C. Auslagerung von Kunden- und Personaldaten in die Cloud
4. Betriebsvereinbarung Betriebsvereinbarungen sind andere Rechtsvorschriften i. S. v. § 4 Abs. 1 BDSG.298 Die normative Wirkung von Betriebsvereinbarungen ergibt sich aus § 77 Abs. 4 Satz 1 BetrVG, der besagt, dass Betriebsvereinbarungen unmittelbar und zwingend gelten.299 Die Regelungen in einer Betriebsvereinbarung dienen dazu, einen einheitlichen Datenschutz im Betrieb herzustellen. Einzelfallentscheidungen, die durch Verhältnismäßigkeitsprüfungen in den datenschutzrechtlichen Erlaubnistatbeständen des BDSG bedingt sind, sollen vermieden werden. Es soll bezogen auf datenschutzrechtliche Regelungen durch Betriebsvereinbarungen Rechtssicherheit geschaffen werden.300 Nach h. M. können Betriebsvereinbarungen nur inländische Sachverhalte regeln, da das Betriebsverfassungsrecht nach herrschender Ansicht dem Territorialprinzip folgt.301 Unternehmen können in Betriebsvereinbarungen auch Regelungen zur Auslagerung von Personaldaten an einen Cloud-Anbieter treffen. Es ist aber strittig, inwieweit durch Betriebsvereinbarungen Datenerhebungen, -verarbeitungen oder -nutzungen gerechtfertigt sein können, die im Übrigen nach den Regelungen des BDSG verboten wären.302 Einer Ansicht303 nach darf durch Betriebsvereinbarungen das Schutzniveau des BDSG unterschritten werden. Auch das BAG war in einem Beschluss304 von 1986 der Ansicht, dass durch eine Betriebsvereinbarung negativ von den Regelungen des BDSG abgewichen werden dürfe. Diese Ausführungen hat das BAG305 im Jahr 2013 grundsätzlich wiederholt.306
298 BAG, Urteil vom 11.12.2014 – 8 AZR 1010 / 13, ZD 2015, 330 ff.; anstelle vieler Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4 Rn. 2; Kramer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4 Rn. 13; Gola / Schomerus, BDSG, § 4 Rn. 10; Scholz / Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 11; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4 Rn. 35; Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 13; Kort, RDV 2012, 15; Kort, ZD 2016, 3 (5); Wybitul / Sörup / Pötters, ZD 2015, 559. 299 Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 106; Gola / Schomerus, BDSG, § 4 Rn. 10; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 4 Rn. 35. 300 Gola / Schomerus, BDSG, § 4 Rn. 10; Wybitul / Sörup / Pötters, ZD 2015, 559 (560). 301 Götz, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 27. 302 Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 13. 303 Forst, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 32 Rn. 107; Gola / Schomerus, BDSG, § 4 Rn. 10; Stamer / Kuhnke, in: Plath (Hrsg.), BDSG, § 32 Rn. 85; Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 15; Gaul / Koehler, BB 2011, 2229 (2234). 304 BAG, Beschluss vom 27.05.1986 – 1 ABR 48 / 84, DB 1986, 2080 ff.
II. Datenschutzrechtliche Rechtmäßigkeit139
Allerdings sei der verbleibende Regelungsspielraum nicht groß. Eine Betriebsvereinbarung dürfe zum einen nämlich nicht gegen die Persönlichkeitsrechte der Arbeitnehmer verstoßen.307 Zum anderen dürfe mit einer Betriebsvereinbarung aber auch nicht gegen Unionsrecht verstoßen werden. Es dürften also nicht Datenverwendungen legalisiert werden, die die DS-RL nicht erlauben würde. Dies ergebe sich aus der vollharmonisierenden Wirkung der DS-RL, die der EuGH308 2011 statuiert hatte.309 Gola310 ist allerdings der Meinung, dass es auf Grund des sich aus § 75 Abs. 2 BetrVG ergebenden Schutzauftrags des Arbeitgebers und des Betriebsrats in der Praxis selten denkbar sei, dass durch eine Betriebsvereinbarung das Schutzniveau des BDSG unterschritten werde. § 75 Abs. 2 BetrVG legt den Betriebspartnern auf, für einen angemessenen Beschäftigtendatenschutz zu sorgen.311 Ähnlich ist Kort312 der Auffassung, dass eine Betriebsvereinbarung die Regelungen des BDSG konkretisieren könne. Darüber hinaus solle auch eine geringfügige Abweichung des Schutzniveaus nach unten möglich sein, solange sie nicht hinter grundgesetzlichen Wertungen und den in § 75 Abs. 2 BetrVG genannten Standards zurückbleibe. Eine andere Ansicht313 sieht in den Regelungen des BDSG den Mindeststandard des Schutzniveaus für die Betroffenen. Das BDSG sei im Vergleich zu einer Betriebsvereinbarung die höherrangige Norm. Eine Abweichung von den Normen des BDSG zu Ungunsten der Betroffenen durch eine Betriebsvereinbarung sei daher nicht möglich. Eine Betriebsvereinbarung könne allein die Regelungen des BDSG konkretisieren. Würde man der letztgenannten Ansicht folgen, dann wäre es sinnlos, eine Betriebsvereinbarung als andere Norm i. S. v. § 4 Abs. 1 BDSG anzusehen, da sich eine Besserstellung der Arbeitnehmer durch eine Betriebsvereinba-
305 BAG, Urteil vom 25.9.2013 – 10 AZR 270 / 12, ZD 2014, 154 ff. mit Anmerkung von Hornung. 306 Kort, ZD 2016, 3 (6). 307 Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 15. 308 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22 ff. 309 Gola / Schomerus, BDSG, § 4 Rn. 10a; Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 15. 310 Gola / Schomerus, BDSG, § 4 Rn. 10a; Gola / Wronka, Handbuch Arbeitnehmerdatenschutz, S. 87 Rn. 336. 311 Kort, RDV 2012, 8. 312 Kort, NZA 2011, 1319 (1322); Kort, RDV 2012, 15; Kort, ZD 2016, 3 (6). 313 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4 Rn. 2; Scholz / Sokol, in: Simitis (Hrsg.), BDSG, § 4 Rn. 17; Trittin / Fischer, NZA 2009, 343 (344); Wybitul / Sörup / Pötters, ZD 2015, 559 (560).
140
C. Auslagerung von Kunden- und Personaldaten in die Cloud
rung bereits aus dem Günstigkeitsprinzip ergeben hätte.314 Außerdem ist es nicht sinnlos, eine Betriebsvereinbarung unter § 4 Abs. 1 BDSG zu fassen, da dadurch klargestellt wird, dass eine Konkretisierung der Erlaubnistatbestände des BDSG durch Betriebsvereinbarungen möglich ist, was keine Selbstverständlichkeit ist.315 In der Mehrzahl der Fälle werden ohnehin beide Ansichten zu demselben Ergebnis kommen. Die Möglichkeit zur Unterschreitung des Schutzniveaus des BDSG wird auch nach der h. M. durch das Persönlichkeitsrecht des Arbeitnehmers eingeschränkt. Das Persönlichkeitsrecht ist datenschutzrechtlich im Rahmen einer Interessenabwägung nach § 32 Abs. 1 BDSG bedeutsam. So muss dort auch das Persönlichkeitsrecht des Arbeitnehmers beachtet werden. Die Regelungen in Betriebsvereinbarungen und die Erlaubnistatbestände des BDSG werden also oft durch dieselbe Grenze eingeschränkt, so dass im Ergebnis trotz der Möglichkeit der Unterschreitung nach der h. M. das Schutzniveau des BDSG in der Praxis doch nicht unterschritten wird. Unabhängig davon, welcher Meinung man folgt, kann die Auslagerung von Personaldaten in die Cloud auch durch eine Betriebsvereinbarung geregelt werden, solange die Betriebsvereinbarung nur für Arbeitnehmer in deutschen Betrieben gilt. Die DS-GVO führt in diesem Bereich zu keinen Veränderungen. In Art. 88 Abs. 1 DS-GVO ist ausdrücklich geregelt, dass die Mitgliedstaaten durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Arbeitnehmerdaten im Beschäftigungskontext treffen können. Da Art. 88 Abs. 1 DS-GVO sehr weit formuliert ist, ist der Datenschutzstandard der DS-GVO trotz der vollharmonisierenden Wirkung der DS-GVO nur der Mindeststandard für die datenschutzrechtlichen Regelungen in einer Betriebsvereinbarung. Das Datenschutzniveau darf durch die Regelungen in einer Betriebsvereinbarung über das Niveau der DS-GVO gehoben werden.316 5. Auftragsdatenverarbeitung Die Auftragsdatenverarbeitung ist in § 11 BDSG geregelt. In der DS-RL regeln Art. 17 Abs. 2 und 3 DS-RL die Auftragsdatenverarbeitung. Art. 17 314 Stamer / Kuhnke, in: Plath (Hrsg.), BDSG, § 32 Rn. 85; Bäcker, in: Wolff / Brink (Hrsg.), BDSG, § 4 Rn. 14. 315 Gola / Wronka, Handbuch Arbeitnehmerdatenschutz, S. 86 f. Rn. 335. 316 Kort, DB 2016, 711 (714 f.); Wybitul / Pötters, RDV 2016, 10 (15); Wybitul / Sörup / Pötters, ZD 2015, 559 (561).
II. Datenschutzrechtliche Rechtmäßigkeit141
Abs. 1 und 2 DS-RL sind auf die Aspekte der Datensicherheit beschränkt.317 Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber gem. § 11 Abs. 1 Satz 1 BDSG für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich. Können die Voraussetzungen an eine Auftragsdatenverarbeitung bei der Auslagerung von Kunden- bzw. Personaldaten an einen Cloud-Anbieter eingehalten werden, kann die Auftragsdatenverarbeitung für das auslagernde Unternehmen vorzugswürdig sein. Das ist hauptsächlich mit der Privilegierungswirkung318 der Auftragsdatenverarbeitung zu begründen, die dazu führt, dass der Datentransfer an den Cloud-Anbieter keine Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG ist. Somit muss für den Datentransfer selbst keine Interessenabwägung vorgenommen werden. Bei einer Auftragsdatenverarbeitung dürfen grundsätzlich auch sensible Daten ausgelagert werden, ohne dass – wie bei einer Übermittlung – andere Regelungen des BDSG für die Auslagerung gelten. Fraglich ist allerdings, ob bei der Auslagerung von Kunden- bzw. Personaldaten an einen Cloud-Anbieter eine Auftragsdatenverarbeitung i. S. v. § 11 BDSG überhaupt in Frage kommt. Zur Beantwortung dieser Frage muss die Auftragsdatenverarbeitung zunächst von der Funktionsübertragung abgegrenzt werden. a) Dogmatische Einordnung und Rechtsnatur Die Auftragsdatenverarbeitung nach § 11 BDSG ist kein Erlaubnistatbestand i. S. v. § 4 Abs. 1 BDSG.319 Sie ist vielmehr eine gesetzliche Fiktion.320 Im Rahmen einer Auftragsdatenverarbeitung beauftragt ein Auftraggeber / Datenexporteur einen Auftragnehmer / Auftragsdatenverarbeiter, Datenverarbeitungsaufgaben durchzuführen, die der Auftraggeber ansonsten selbst durchführen müsste.321 Die zentrale Rechtsfolge der Auftragsdatenverarbeitung ist in § 3 Abs. 8 Satz 3 BDSG geregelt: Der Auftragnehmer wird nicht 317 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 1 ff.; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 6 ff.; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 4 ff. 318 Siehe dazu C. II. 5. f). 319 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 2; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 2. 320 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 2; Bergt, DuD 2013, 796; Grützmacher, ITRB 2007, 183 (184); Kremer / Sander, ITRB 2014, 187 f. 321 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 1; Bergt, DuD 2013, 796.
142
C. Auslagerung von Kunden- und Personaldaten in die Cloud
als Dritter angesehen.322 Diese Rechtsfolge wird auch mit dem Begriff der „Privilegierungswirkung der Auftragsdatenverarbeitung“ umschrieben.323 Der Auftraggeber bleibt im Außenverhältnis weiterhin als „Herr der Daten“324 verantwortlich für die durchgeführten Datenverarbeitungsvorgänge.325 Obwohl der Auftraggeber gewisse Aufgaben an den Auftragnehmer auslagert, führt das nicht zur Auslagerung der Verantwortlichkeit an den Auftragnehmer.326 Die Tätigkeit des Auftragnehmers ist eine reine Hilfsund Unterstützungstätigkeit.327 Der Auftragnehmer ist der „verlängerte Arm“ des Auftraggebers.328 Der Auftragnehmer ist weisungsgebunden und hat keinerlei Bewertungs- und Ermessensspielraum.329 Auftraggeber und Auftragnehmer werden im Rahmen der Auftragsdatenverarbeitung als rechtliche Einheit angesehen.330 Im Rahmen einer Auftragsdatenverarbeitung können auch besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG einem Auftragnehmer übertragen werden. Allerdings werden dann an den Auftragnehmer bei dem Umgang mit den Daten höhere Anforderungen an die Schutzbedürftigkeit gestellt.331 Der Betroffene muss bei einer Auftrags322 Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 229 Rn. 3. 323 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 43; Eckhardt, DuD 2013, 585; Eckhardt / Kramer, DuD 2014, 147; Nielen / Thum, K&R 2006, 171. 324 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 6; Gola / Schomerus, BDSG, § 11 Rn. 3; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 20; Niemann / Hennrich, CR 2010, 686 (687); Pohle / Ammann, CR 2009, 273 (276); Schulz / Rosenkranz, ITRB 2009, 232 (235). 325 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 1; Eckhardt, DuD 2013, 585 (586); Eckhardt / Kramer, DuD 2014, 147; Pohle / Ammann, CR 2009, 273 (276); Schulz / Rosenkranz, ITRB 2009, 232 (235). 326 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 5; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 3; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 1; Eckhardt, DuD 2013, 585 (586); Eckhardt / Kramer, DuD 2014, 147. 327 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 5; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 14; Bergt, DuD 2013, 796; Opfermann, ZEuS 2012, 121 (135). 328 Gola / Schomerus, BDSG, § 11 Rn. 3; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 22; Engels, K&R 2011, 548; Rath / Rothe, K&R 2013, 623 (625). 329 Gola / Schomerus, BDSG, § 11 Rn. 9; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 12; Eckhardt, DuD 2013, 585 (586); Rath / Rothe, K&R 2013, 623 (625); Schuster / Reichl, CR 2010, 38 (41). 330 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 7; Gola / Schomerus, BDSG, § 11 Rn. 4; Bergt, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 38; Opfermann, ZEuS 2012, 121 (134); Petri, DuD 2014, 862. 331 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 27; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 11; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 91; Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 45; Erd, DuD 2011, 275 (277).
II. Datenschutzrechtliche Rechtmäßigkeit143
datenverarbeitung seine Betroffenenrechte, wie z. B. das Recht auf Auskunft (§ 34 BDSG) oder Löschung (§ 35 BDSG), nicht gegenüber dem Auftragsdatenverarbeiter, sondern gegenüber der verantwortlichen Stelle geltend machen.332 Problematisch bei der Auslagerung von Kunden- bzw. Personaldaten an einen Cloud-Anbieter ist, dass das auslagernde Unternehmen zwar weiß, dass die Daten auf den Servern des Cloud-Anbieters gespeichert sind, aber nicht den genauen Standort der Daten kennt. Dies könnte dem Wesen der Auftragsdatenverarbeitung widersprechen, die darauf ausgerichtet ist, dass der Auftraggeber „Herr seiner Daten“ ist. Wie soll das Unternehmen aber „Herr seiner Daten“ sein, wenn es nicht einmal den genauen Standort der Daten zu einem bestimmten Zeitpunkt ermitteln kann?333 Der Cloud-Anbieter kann aber dem Unternehmen technische Mittel wie Reporting- und Monitoring-Tools zur Verfügung stellen, mit denen das Unternehmen den „Lagerplatz“ der Daten auf den Servern des Cloud-Anbieters nachvollziehen kann. Zum Bearbeiten der Daten müssen die Daten durch einen Algorithmus bei dem Cloud-Anbieter sowieso gefunden und zusammengefügt werden. Der gleiche Algorithmus kann also genutzt werden, um dem Unternehmen über eine Schnittstelle den Ort der Daten anzuzeigen.334 Der Begriff „Auftrag“ in § 11 BDSG ist nicht mit dem Begriff des Auftrags i. S. d. §§ 662 ff. BGB identisch. Die vertragliche Ausgestaltungsform der Auftragsdatenverarbeitung ist unerheblich. Es ist möglich, die Auftragsdatenverarbeitung im Rahmen eines Dienstvertrags, Werkvertrags, Geschäftsbesorgungsvertrags oder sonstigen Vertrags auszugestalten.335 Die Auftragsdatenverarbeitung muss aber in jedem Fall auf die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten gerichtet sein.336 Typische Anwendungsfälle sind Verträge über Inkassodienste, Rechenzentren oder Wartungsverträge.337
332 Gola / Schomerus, BDSG, § 11 Rn. 4; Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 80 ff.; Kremer, ITRB 2014, 60 (62). 333 Reindl, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 443 f.; Opfermann, ZEuS 2012, 121 (136 f.). 334 Reindl, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 444. 335 Gola / Schomerus, BDSG, § 11 Rn. 6; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 22; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 11. 336 Gola / Schomerus, BDSG, § 11 Rn. 7; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 9; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 11. 337 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 30.
144
C. Auslagerung von Kunden- und Personaldaten in die Cloud
b) Funktionsübertragungstheorie und Vertragstheorie Werden die Voraussetzungen des § 11 BDSG nicht eingehalten, liegt keine Auftragsdatenverarbeitung, sondern eine rechtfertigungsbedürftige Übermittlung vor. Ob eine Auftragsdatenverarbeitung oder eine Übermittlung vorliegt, ist im Einzelfall auch nach dem Umfang der vom Auftragnehmer zu übernehmenden Aufgaben zu entscheiden. aa) Funktionsübertragungstheorie Eine der Möglichkeiten der Abgrenzung von Auftragsdatenverarbeitung und Übermittlung ist die Funktionsübertragungstheorie.338 Der Begriff der Funktionsübertragung ist gesetzlich nicht geregelt, er findet nur eine einmalige Erwähnung in der BT-Drs. 11 / 4306.339 Bei einer Funktionsübertragung werden nicht nur Daten im Auftrag verarbeitet, sondern es wird eine ganze Funktion übertragen.340 Dabei bestimmt der Auftragnehmer eigenverantwortlich über den Zweck und die Mittel der Datenverarbeitung.341 Die Übertragung der Daten an den Auftragnehmer durch den Auftraggeber erfolgt nicht allein, damit der Auftragnehmer die Daten verarbeitet. Die Übertragung der Daten ist vielmehr Hilfsmittel, damit der Auftragnehmer die Aufgabe, die ihm vom Auftraggeber übertragen wurde, besser erledigen kann.342 Allerdings führt nicht jede Zusatztätigkeit des Auftragnehmers per se dazu, dass keine Auftragsdatenverarbeitung mehr vorliegt.343 Die Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung hängt von dem konkreten Einzelfall ab.344 Wichtigstes Abgrenzungskriterium ist, ob der Auftragnehmer die Entscheidungsbefugnis über die Verwendung der übertragenen Daten hat und somit datenschutzrechtlich verantwortliche Stelle ist.345 Weitere Kriterien sind der Spielraum, der dem Auftrag338 Gabel,
(465).
in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 14; Räther, DuD 2005, 461
339 BT-Drs. 11 / 4306, S. 43; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 28; Sutschet, RDV 2004, 97. 340 Gola / Schomerus, BDSG, § 11 Rn. 9; Sutschet, RDV 2004, 97 (98) m. w. N. 341 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 16; Funke / Wittmann, ZD 2013, 221 (223); Opfermann, ZEuS 2012, 121 (137). 342 Räther, DuD 2005, 461 (465); Sutschet, RDV 2004, 97. 343 Gola / Schomerus, BDSG, § 11 Rn. 7. 344 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 14; Gola / Schomerus, BDSG, § 11 Rn. 9. 345 Gola / Schomerus, BDSG, § 11 Rn. 9; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 22; Bräutigam, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1022 f. Rn. 235; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 422 Rn. 41; Räther, DuD 2005, 461 (465).
II. Datenschutzrechtliche Rechtmäßigkeit145
nehmer neben den Weisungen des Auftraggebers verbleibt, und die Frage, ob der Auftragnehmer ein finanzielles Eigeninteresse an der Verwendung der personenbezogenen Daten hat. Ist dies der Fall, liegt eine Funktionsübertragung vor.346 Eine typische Fallgestaltung der Funktionsübertragung ist etwa folgende: Der Auftraggeber überlässt zunächst dem Auftragnehmer die Daten zur eigenverantwortlichen Verwendung. Der Auftragnehmer führt dann den Auftrag unter eigenständiger Regie aus. Der Auftraggeber kann die Art und Weise der Auftragsausführung nicht beeinflussen.347 Liegt eine Funktionsübertragung vor, handelt es sich nicht um eine Auftragsdatenverarbeitung. Konsequenz daraus ist, dass der Auftragnehmer Dritter i. S. v. § 3 Abs. 8 Satz 2 BDSG ist. Daraus wiederum folgt, dass die Datenweitergabe bei einer Funktionsübertragung als Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG einzustufen ist. Die Übermittlung bedarf nach § 4 Abs. 1 BDSG einer Einwilligung oder eines anderen Erlaubnistatbestandes. Nach der Funktionsübertragungstheorie kann bei der Auslagerung von Kunden- und Personaldaten an einen Cloud-Anbieter eine Auftragsdatenverarbeitung vorliegen, wenn keine Funktionsübertragung vorliegt und die übrigen Anforderungen an die Auftragsdatenverarbeitung eingehalten werden. Der Cloud-Anbieter kann bei der Auftragsdatenverarbeitung nicht eigenverantwortlich über den Zweck der übertragenen Daten und über die eingesetzten Mittel zur Bearbeitung bestimmen. Vielmehr bestimmt das auslagernde Unternehmen durch die Buchung eines bestimmten CloudDienstes, in welcher Form die ausgelagerten Daten bearbeitet werden. Außerdem hat das Unternehmen die Entscheidungsgewalt über die Kundenund Personaldaten. Es entscheidet letztlich, welche Daten übertragen werden sollen und kann auch darüber entscheiden, welche Daten gelöscht werden sollen. Der Cloud-Anbieter hat keinen Spielraum, was mit den ausgelagerten Datensätzen geschehen soll, da die Auswahl des Cloud-Dienstes durch das Unternehmen die Datenverwendung schon von vornherein bestimmt. Der Cloud-Anbieter hat kein finanzielles Eigeninteresse an den Daten des Unternehmens selbst, sondern nur an dem Entgelt für seine Leistungen. Die Auslagerung von Kunden- und Personaldaten eines Unternehmens in die Cloud ist nach der Funktionsübertragungstheorie eine Auftragsdatenverarbeitung, da keine Funktionsübertragung vorliegt.
346 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 23; Sutschet, RDV 2004, 97 (98) m. w. N. 347 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 23.
146
C. Auslagerung von Kunden- und Personaldaten in die Cloud
bb) Vertragstheorie Eine andere Theorie der Abgrenzung zwischen Auftragsdatenverarbeitung und Übermittlung ist die sog. „Vertragstheorie“.348 Nach der Vertragstheorie ist es nicht – wie bei der Funktionsübertragungstheorie – entscheidend, welche Funktion der Auftragnehmer erfüllt. Es kommt für die Abgrenzung zwischen Auftragsdatenverarbeitung und Übermittlung darauf an, ob der Auftragnehmer den Weisungen des Auftraggebers Folge leistet und alle Voraussetzungen von § 11 BDSG einhält.349 Die Abgrenzung erfolgt nicht danach, welche Aufgaben bzw. Funktionen übertragen werden, sondern auf welche Weise diese Übertragung geschieht.350 Die Vertreter der Vertragstheorie lehnen die Funktionsübertragungstheorie ab, weil sich weder im BDSG noch in der DS-RL Ansatzpunkte für die Funktionsübertragungstheorie finden ließen.351 Außerdem seien die von der Funktionsübertragungstheorie genannten Abgrenzungskriterien zur Auftragsdatenverarbeitung nicht tauglich.352 Auch die Artikel-29-Datenschutzgruppe scheint sich eher an der Vertragstheorie als an der Funktionsübertragungstheorie zu orientieren, wenn sie vorbringt, dass „[d]as wichtigste Kriterium ist, dass der Auftragsverarbeiter ‚im Auftrag des für die Verarbeitung Verantwortlichen‘ handeln muss. Im Auftrag eines anderen zu handeln bedeutet, in dessen Interesse zu handeln, und erinnert an die Rechtsfigur der Aufgabenübertragung (‚Delegation‘). Im Kontext des Datenschutzrechts ist es die Aufgabe des Auftragverarbeiters, die von dem für die Verarbeitung Verantwortlichen erteilten Weisungen zumindest hinsichtlich des Zwecks der Verarbeitung und der wesentlichen Elemente der Mittel zu befolgen.“353 Auch nach der Vertragstheorie kann beim Auslagern personenbezogener Daten in die Cloud eine Auftragsdatenverarbeitung vorliegen, wenn die Anforderungen an eine Auftragsdatenverarbeitung beachtet werden. Letztlich entscheidet das auslagernde Unternehmen, welche Daten verarbeitet 348 Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 131. 349 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 29; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 15; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 32; Nielen / Thum, K&R 2006, 171 (175); Räther, DuD 2005, 461 (465 f.); Sutschet, RDV 2004, 97 (102). 350 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 15; Heghmanns / Niehaus, wistra 2008, 161 (163). 351 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 15; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 32; Nielen / Thum, K&R 2006, 171 (175); Räther, DuD 2005, 461 (465); Sutschet, RDV 2004, 97 (100). 352 Räther, DuD 2005, 461 (465) m. w. N.; Sutschet, RDV 2004, 97 (99). 353 Artikel-29-Datenschutzgruppe, WP 169, S. 31.
II. Datenschutzrechtliche Rechtmäßigkeit147
werden sollen und wie die Verarbeitung erfolgen soll. Allein das Unternehmen entscheidet durch das Eingeben der Kunden- bzw. Personaldaten in die Browsermaske bzw. die spezielle Software des Cloud-Anbieters, ob die Daten eines bestimmten Kunden oder Arbeitnehmers übertragen werden sollen oder nicht. Auch bezüglich des Löschvorgangs dieser Daten hat das Unternehmen Entscheidungsgewalt. Durch die Auswahl des Cloud-Anbieters und eines für das Unternehmen passenden Cloud-Dienstes des Cloud-Anbieters kann das Unternehmen die Art der Verarbeitung der Daten durch den Cloud-Anbieter bestimmen. Somit kann bei der Auslagerung von Kundenbzw. Personaldaten in die Cloud auch nach der Vertragstheorie eine Auftragsdatenverarbeitung vorliegen. cc) Bewertung Nach beiden Theorien ist es möglich, dass die Auslagerung von Kundenbzw. Personaldaten eines Unternehmens an einen Cloud-Anbieter im Rahmen einer Auftragsdatenverarbeitung erfolgt. Das auslagernde Unternehmen muss aber bei der datenschutzrechtlichen Bewertung der Auslagerung wissen, welche Kriterien den Ausschlag dafür geben, ob eine Übermittlung oder eine Auftragsdatenverarbeitung vorliegt. Die Vertragstheorie ist vorzugswürdig. Der Wortlaut von § 11 BDSG besagt nicht, dass eine Auftragsdatenverarbeitung nicht vorliegen kann, wenn eine Funktion übertragen wird.354 Schon der Begriff der Funktion ist unklar. Er ist nirgends im Gesetz definiert oder erwähnt.355 Nach seinem Wortlaut regelt § 11 Abs. 1 Satz 1 BDSG die datenschutzrechtliche Verantwortlichkeit bei einer Auftragsdatenverarbeitung. Über die tatsächliche Verantwortlichkeit der Ausführung des Auftrags durch den Auftragnehmer wird nichts gesagt. Der Auftraggeber muss also nicht zwingend die tatsächliche Verantwortung tragen, solange er die Weisungshoheit über die Vorgänge beim Auftragnehmer behält. Es ist gerade einer der Vorteile des Cloud Computing, dass sich der Cloud-Nutzer auf seine Kernkompetenzen konzentrieren kann. Der Cloud-Nutzer muss nicht über das technische Knowhow verfügen, um sich mit der Umsetzung der Kunden- und Personalverwaltung beschäftigen zu können. Die Umsetzung der Personal- und Kundenverwaltung erledigt der Cloud-Anbieter für ihn.356 Die Abgrenzung, ob eine Auftragsdatenverarbeitung oder eine Übermittlung vorliegt, ist nach der Funktionsübertragungstheorie beim Cloud Com354 So Sutschet, 355 So 356 So
auch Nielen / Thum, K&R 2006, 171 (175); Räther, DuD 2005, 461 (465); RDV 2004, 97 (99 f.). auch Sutschet, RDV 2004, 97 (99 f.). auch Nielen / Thum, K&R 2006, 171 (175); Sutschet, RDV 2004, 97 (101).
148
C. Auslagerung von Kunden- und Personaldaten in die Cloud
puting oft nicht einfach zu treffen, da häufig nicht auf den ersten Blick zu erkennen ist, ob nur Daten oder eine ganze Funktion übertragen werden sollen.357 Vertreter der Funktionsübertragungstheorie sind der Ansicht, dass bei einer extensiven Ermöglichung der Auftragsdatenverarbeitung die Gefahr für die Betroffenen bestünde, dass Daten unzulässig verarbeitet oder weitergegeben würden, da die Auftragsdatenverarbeitung privilegiert werde und somit nicht so strenge Voraussetzungen wie bei einer Übermittlung der Daten vorliegen müssten. Die Vertreter der Funktionsübertragungstheorie legen aber nicht dar, worin das erhöhte Gefährdungspotential für die Datenverarbeitung liegen soll. Der Betroffene kann bei einer Auftragsdatenverarbeitung oft sogar von einem höheren Schutzstandard für die Datenverarbeitung und vom größeren Know-how des Cloud-Anbieters profitieren. Der Cloud-Anbieter kann Sicherheitsvorkehrungen treffen, die für ein kleines oder mittelständisches Unternehmen nicht machbar sind. Es kommt zu einem Zuwachs an Sicherheit und nicht zu deren Verringerung. Außerdem hat der Betroffene bei einer Auftragsdatenverarbeitung eine verantwortliche Stelle, an die er sich wenden kann; er muss nicht erst herausfinden, gegenüber welcher Stelle er seine Rechte geltend machen muss. Eine extensive Auslegung der Auftragsdatenverarbeitung kommt dem Betroffenen also entgegen.358 Auf der Rechtsfolgenseite ist diese schwierige Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung relevant für den Betroffenen, der gegenüber der verantwortlichen Stelle Betroffenenrechte geltend machen möchte. Wenn nicht klar ist, ob eine Auftragsdatenverarbeitung oder eine Funktionsübertragung vorliegt und somit fraglich ist, ob der „Auftraggeber“ oder der „Auftragnehmer“ verantwortliche Stelle ist, kann es passieren, dass der Betroffene in ein Verweisungskarussell gerät, dass also der „Auftragsdatenverarbeiter“, dem eine Funktion übertragen wurde, den Betroffenen an den Auftraggeber und der Auftraggeber den Betroffenen an den „Auftragsdatenverarbeiter“ verweist. Bei der Vertragstheorie, die eher von einer Auftragsdatenverarbeitung ausgeht als die Funktionsübertragungstheorie, ist eine Abgrenzung einfacher zu treffen und für alle Beteiligten deutlicher erkennbar, wer die verantwortliche Stelle ist.359
auch Nielen / Thum, K&R 2006, 171 (175 f.). auch Nielen / Thum, K&R 2006, 171 (176); Räther, DuD 2005, 461 (465 f.); Sutschet, RDV 2004, 97 (101). 359 So auch Sutschet, RDV 2004, 97 (100). 357 So 358 So
II. Datenschutzrechtliche Rechtmäßigkeit149
c) Voraussetzungen einer Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG) Die Auslagerung von personenbezogenen Daten an einen Cloud-Anbieter im Rahmen einer Auftragsdatenverarbeitung i. S. v. § 11 BDSG erfordert, dass die Mindestanforderungen an eine Auftragsdatenverarbeitung gem. § 11 BDSG eingehalten werden.360 Der Auftraggeber / das auslagernde Unternehmen trägt das Risiko für die Unwirksamkeit der Auftragsdatenverarbeitung: Ist der Vertrag über die Auftragsdatenverarbeitung unwirksam, entfällt die Privilegierungswirkung des § 3 Abs. 8 Satz 3 BDSG. Der Auftragnehmer ist bei Unwirksamkeit des Vertrags über die Auftragsdatenverarbeitung Dritter i. S. v. § 3 Abs. 8 Satz 2 BDSG. Die Auslagerung von personenbezogenen Daten ist dann keine privilegierte Auftragsdatenverarbeitung, sondern eine rechtfertigungsbedürftige Übermittlung.361 Liegt dann keine Einwilligung der Betroffenen vor oder sind die Voraussetzungen eines anderen Erlaubnistatbestands für die Übermittlung nicht gegeben, kann dem Auftraggeber gem. § 43 Abs. 2 Nr. 1, Abs. 3 Satz 1 BDSG ein Bußgeld in Höhe von bis zu 300.000 Euro auferlegt werden. Die Erfüllung der strengen Voraussetzungen bei einer Auftragsdatenverarbeitung halten viele Autoren362 bei der Nutzung von Cloud-Diensten für schwierig. Die Orientierungshilfe Cloud Computing363 der Datenschutzbeauftragten von Bund und Ländern enthält aber Hinweise, wie die Nutzung von Cloud-Diensten im Rahmen einer Auftragsdatenverarbeitung und somit die Einhaltung der strengen Voraussetzungen durchaus möglich ist. Auch das Sopot Memorandum364 der Internationalen Arbeitsgruppe zum Datenschutz in der Telekommunikation und das Working Paper 196365 der Artikel29-Datenschutzgruppe halten die Ausgestaltung der Auslagerung von Daten im Rahmen von Cloud Computing in Form einer Auftragsdatenverarbeitung für möglich.
360 Weichert,
DuD 2010, 679 (684). DuD 2013, 585 (586). 362 Engels, K&R 2011, 548 ff.; Heidrich / Wegener, MMR 2010, 803 (805 f.); Kühling / Biendl, CR 2014, 150 (152); Niemann / Hennrich, CR 2010, 686; Niemann / Paul, K&R 2009, 444 (449); Schuster / Reichl, CR 2010, 38 (41 f.); Söbbing, MMR 2008, Heft 5, XII (XIV); Weichert, DuD 2010, 679 (687). 363 DSK, Orientierungshilfe Cloud Computing – Version 2.0. 364 International Working Group on Data Protection in Telecommunications, Sopot Memorandum. 365 Artikel-29-Datenschutzgruppe, WP 196. 361 Eckhardt,
150
C. Auslagerung von Kunden- und Personaldaten in die Cloud
aa) Auswahl des Auftragnehmers unter Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen (§ 11 Abs. 2 Satz 1 BDSG) Der Auftragsdatenverarbeiter / Cloud-Anbieter ist gem. § 11 Abs. 2 Satz 1 BDSG unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig vom Auftraggeber / Unternehmen auszuwählen. Öffentliche Stellen und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben gem. § 9 Satz 1 BDSG die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften des BDSG, insbesondere die in der Anlage zu § 9 Satz 1 BDSG genannten Anforderungen, zu gewährleisten. Der Begriff der technischen und organisatorischen Maßnahmen ist weit auszulegen.366 Damit werden alle Maßnahmen bezeichnet, die im Rahmen der Erhebung, Verarbeitung und Nutzung personenbezogener Daten notwendig sind, damit eine datenschutzgerechte und sichere Erhebung, Verarbeitung und Nutzung erreicht wird.367 Dabei sind insbesondere die folgenden, in der Anlage zu § 9 Satz 1 BDSG genannten, Maßnahmen zu treffen, wobei das Wort „insbesondere“ zeigt, dass diese Liste an Maßnahmen nicht abschließend ist, sondern nur Beispiele nennt:368 Organisationskontrolle, Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle. Diese Maßnahmen sind gem. § 9 Satz 2 BDSG nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. § 9 Satz 2 BDSG basiert auf dem Grundsatz der Verhältnismäßigkeit.369 Die Einhaltung der technischen und organisatorischen Maßnahmen ist eng verbunden mit den Zielen der Datensicherheit.370 § 9 BDSG ist die zentrale Vorschrift über die Datensicherheit im BDSG.371 366 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 17; Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 20. 367 Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 20. 368 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 29; Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 56. 369 Gola / Schomerus, BDSG, § 9 Rn. 7; Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 3. 370 Gola / Schomerus, BDSG, § 9 Rn. 1. 371 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 1; Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 1; Karg, in: Wolff / Brink (Hrsg.), BDSG, § 9 Rn. 1.
II. Datenschutzrechtliche Rechtmäßigkeit151
Welche technischen und organisatorischen Maßnahmen getroffen werden müssen, hängt sehr vom Einzelfall ab. Dabei spielen viele Faktoren wie die Art der Daten, der Grad der Sensibilität, die Art der Datenverarbeitung und weitere Umstände eine Rolle.372 Die Einhaltung der technischen und organisatorischen Maßnahmen betrifft nicht nur den Cloud-Anbieter, sondern auch mögliche eingesetzte Ressourcen-Anbieter, die Unterauftragnehmer i. S. v. § 11 Abs. 2 Nr. 6 BDSG sind.373 In der Praxis legt der Auftragnehmer dem Auftraggeber meist eine Liste der technischen und organisatorischen Maßnahmen vor, die beim Auftragnehmer schon getroffen werden. Dieses Dokument wird dann als Anlage in den Auftragsdatenverarbeitungsvertrag übernommen und somit dem Auftragnehmer die Pflicht auferlegt, im Rahmen der Auftragsdatenverarbeitung die Maßnahmen zu treffen, die der Auftragnehmer sowieso schon trifft.374 (1) Organisationskontrolle (Satz 1 der Anlage zu § 9 Satz 1 BDSG) Die Organisationskontrolle i. S. v. Satz 1 der Anlage zu § 9 Satz 1 BDSG bildet den Kernbereich der Datensicherung.375 Die datenverarbeitende Stelle muss sicherstellen, dass sie die notwendigen technischen und organisatorischen Maßnahmen trifft, um nicht gegen das BDSG zu verstoßen. Um die Einhaltung der technischen und organisatorischen Maßnahmen sicherzustellen, ist eine umfangreiche Organisation, die die Basis der Umsetzung der technischen und organisatorischen Maßnahmen bildet, notwendig.376 Der Cloud-Anbieter muss unter anderem Notfallübungen, periodische Sicherheitsüberprüfungen und Penetrationstests durchführen.377 Darüber muss der Cloud-Anbieter das Unternehmen informieren.378 Bei der Umsetzung der technischen und organisatorischen Maßnahmen muss der Grundsatz „security by transparency“379 und nicht der Grundsatz „security by obscurity“380 gelten. 372 Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 12; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 4. 373 Weichert, DuD 2010, 679 (684). 374 Kremer / Sander, ITRB 2014, 187 (189). 375 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 34; Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 25; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 43. 376 Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 25. 377 BITKOM, Eckpunkte für sicheres Cloud Computing, S. 27 Tabelle 9. 378 BITKOM, Eckpunkte für sicheres Cloud Computing, S. 27 Tabelle 9. 379 Weichert, DuD 2010, 679 (686). 380 Weichert, DuD 2010, 679 (685).
152
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(2) Zutrittskontrolle (Satz 2 Nr. 1 der Anlage zu § 9 Satz 1 BDSG) Unbefugten ist gem. Satz 2 Nr. 1 der Anlage zu § 9 Satz 1 BDSG der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Zutritt in diesem Sinne meint die räumliche Annährung an eine Datenverarbeitungsanlage.381 Unbefugte Personen dürfen nicht unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen.382 Es soll ausgeschlossen werden, dass Unbefugte Kenntnis von oder Einfluss auf die Datenverarbeitungsanlagen nehmen.383 Mögliche Maßnahmen sind Gebäudeüberwachung, Einrichten von Sicherheitszonen, Bewegungssensoren, Berechtigungsausweise, Alarmanlagen, geschultes Sicherheitspersonal usw.384 Bei der Auslagerung der personenbezogenen Daten im Rahmen des Cloud Computing ergeben sich für den Cloud-Anbieter keine Besonderheiten im Vergleich zu „gewöhnlichen“ Rechenzentren. Der Cloud-Anbieter hat alle erforderlichen Maßnahmen zu treffen, um den Zutritt Unberechtigter zu seinen Rechenzentren zu verhindern.385 (3) Zugangskontrolle (Satz 2 Nr. 2 der Anlage zu § 9 Satz 1 BDSG) Der Cloud-Anbieter muss gem. Satz 2 Nr. 2 der Anlage zu § 9 Satz 1 BDSG verhindern, dass die Datenverarbeitungssysteme von Unbefugten genutzt werden können. Die Zugangskontrolle soll verhindern, dass die EDVAnlagen durch unberechtigte Personen tatsächlich genutzt werden.386 Der Cloud-Anbieter muss den Zugang zu seinen Systemen überwachen. Unbe381 Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 31; Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 77; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 449 Rn. 100; Roth, ITRB 2010, 60 (63). 382 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 37; Gola / Schomerus, BDSG, § 9 Rn. 22. 383 Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 30, Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 68. 384 Gola / Schomerus, BDSG, § 9 Rn. 22; Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 83; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 53; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 28 f.; für eine Auflistung einzelner Maßnahmen siehe Münch, Technisch-organisatorischer Datenschutz – Leitfaden für Praktiker, S. 323 ff. 385 So auch Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 426. 386 Gola / Schomerus, BDSG, § 9 Rn. 23; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 54.
II. Datenschutzrechtliche Rechtmäßigkeit153
fugte dürfen keinen Zugang zu den Daten haben.387 Dabei müssen Authentifizierungs- und Verschlüsselungsverfahren angewandt werden.388 Für den Zugang zum System muss der Cloud-Anbieter sichere Authentifizierungsverfahren bereitstellen. Soll die Authentifizierung der Administratoren und Cloud-Nutzer nur über Benutzernamen und Passwort erfolgen, muss der Cloud-Anbieter dafür sorgen, dass nur sichere Passwörter durch die Administratoren und Cloud-Nutzer vergeben werden können.389 Noch sicherer ist es, wenn der Administrator oder Cloud-Nutzer für den Zugang zu den Systemen des Cloud-Anbieters zusätzlich zum Passwort ein weiteres Authentifizierungsmerkmal benötigt (Zwei-Faktor-Authentifizierung). Dieses zusätzliche Authentifizierungsmerkmal können biometrische Daten (Fingerabdruck-Scan, Iris-Scan), Smartcards oder Hardware-Token sein. Selbst wenn der Angreifer also die Passwortabfrage überwinden kann, benötigt er zusätzlich noch das weitere Authentifizierungsmerkmal, um Zugang zu den Systemen des Cloud-Anbieters zu erhalten.390 Der Cloud-Anbieter muss bei der Speicherung der Daten auf den Servern Verschlüsselungstechniken einsetzen. Erlangt ein Unberechtigter Zugriff auf die Server, findet er nur verschlüsselte Daten vor. Beim Einsatz von Verschlüsselungstechniken, die dem Stand der Technik entsprechen, kann der Unberechtigte die Daten nicht einfach entschlüsseln. Das Entschlüsseln von sicher verschlüsselten Daten kann Jahre in Anspruch nehmen.391 Weitere mögliche Maßnahmen der Zugangskontrolle sind enge Begrenzung des Kreises der befugten Benutzer, automatisches Abschalten der Arbeitsplatzcomputer, spezielle Sicherheitssoftware usw.392 Cloudspezifische Risiken können darin bestehen, dass der Cloud-Anbieter gerade bei SaaS-Anwendungen für die Überwachung und die Wartung der Systeme zuständig ist. Das Patchmanagement spielt hier eine sehr wichtige Rolle: Werden die Systeme nicht zeitnah gepatcht, können sich große Sicherheitslücken auftun.393 387 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 43; Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 34. 388 Artikel-29-Datenschutzgruppe, WP 196, S. 18 f.; Schröder / Haag, ZD 2012, 495 (498). 389 Reimann / Schmidt, Datenschutz in der Steuer- und Anwaltskanzlei, S. 47; Roth, ITRB 2010, 60 (61). 390 Artikel-29-Datenschutzgruppe, WP 196, S. 19; BITKOM, Eckpunkte für sicheres Cloud Computing, S. 25 Tabelle 7; BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, S. 43 f.; Schröder / Haag, ZD 2012, 495 (498). 391 Schröder / Haag, ZD 2011, 147 (151). 392 Ernestus, in: Simitis (Hrsg.), BDSG, § 9 Rn. 97 f. 393 Schröder / Haag, ZD 2011, 147 (151); für eine Auflistung einzelner Maßnahmen siehe Münch, Technisch-organisatorischer Datenschutz – Leitfaden für Praktiker, S. 331 ff.
154
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(4) Zugriffskontrolle (Satz 2 Nr. 3 der Anlage zu § 9 Satz 1 BDSG) Es muss gem. Satz 2 Nr. 3 der Anlage zu § 9 Satz 1 BDSG gewährleistet werden, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle besteht aus zwei Teilen. Zunächst muss verhindert werden, dass ein zur Nutzung der EDV-Anlage grundsätzlich Berechtigter Zugriff auf Daten erhält, die für ihn nicht zugänglich sind. Außerdem muss verhindert werden, dass die Daten unbefugt gelesen, kopiert, verändert oder entfernt werden.394 Authentifizierte Nutzer dürfen nur innerhalb der Grenzen der ihnen zugewiesenen Zugriffsberechtigungen auf die Systeme zugreifen können.395 Zu diesem Zweck ist der Einsatz eines firmenweiten Berechtigungskonzepts nötig.396 Jeder Benutzer darf nur Zugang zu den Daten bekommen, die für seine Arbeit notwendig sind. Auch die Administratoren dürfen nicht Zugang zur gesamten Cloud erhalten.397 Bei der Absicherung des Zugriffs spielen Verschlüsselungstechniken ebenfalls eine zentrale Rolle.398 Aufgrund des Einsatzes von virtuellen Maschinen und der Multi-TenancyArchitektur ist die Gefahr beim Cloud Computing, dass unberechtigte Personen auf Daten, auf die sie eigentlich keinen Zugriff haben dürften, zugreifen können, höher als bei „gewöhnlichen“ Rechenzentren. Die Regelung der Zugriffskontrolle im BDSG geht von einem physisch abgrenzbaren System aus. Dieses ist bei Cloud Computing-Systemen aufgrund der Virtualisierungstechnologie und der Multi-Tenancy-Architektur nicht gegeben.399 Ein Fehler im Hypervisor kann so dazu führen, dass unberechtigte Personen Zugriff auf Daten erhalten. Der Cloud-Anbieter muss also in dieser Hinsicht besondere Sicherheitsvorkehrungen treffen, damit die Daten der CloudNutzer nicht kompromittiert werden. Eine Maßnahme hierzu ist das Einrichten von Intrusion Detection Systemen (IDS) und Intrusion Prevention Systemen (IPS), die erkennen können, wann ein Unberechtigter versucht, auf
394 Gola / Schomerus,
BDSG, § 9 Rn. 24; Roth, ITRB 2010, 60 (61). in: Plath (Hrsg.), BDSG, § 9 Rn. 37; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 59. 396 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 54; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 60. 397 Artikel-29-Datenschutzgruppe, WP 196, S. 19; Marnau / Schirmer / Schlehahn / Schunter, DuD 2011, 333 (334 f.). 398 Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 62. 399 Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 104. 395 Plath,
II. Datenschutzrechtliche Rechtmäßigkeit155
die Daten in der Cloud zuzugreifen, und diesen Zugriffsversuch dann abwehren können.400 (5) Weitergabekontrolle (Satz 2 Nr. 4 der Anlage zu § 9 Satz 1 BDSG) Der Cloud-Anbieter muss gem. Satz 2 Nr. 4 der Anlage zu § 9 Satz 1 BDSG gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf einem Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Die Weitergabekontrolle verfolgt zwei Ziele401: Zum einen dürfen die Daten während der Übertragung nicht von unbefugten Dritten eingesehen, noch während des Transports verändert oder unterdrückt werden können. Zum anderen muss nachvollzogen werden können, wo eine Übertragung von Daten vorgesehen oder geplant ist. Es ist schwierig, eine Weitergabekontrolle im Rahmen von SaaS-Angeboten durchzuführen. Es ist nicht leicht überprüfbar oder feststellbar, wo eine Übertragung personenbezogener Daten vorgesehen ist.402 Bei Cloud-Diensten ist die Weitergabekontrolle aber besonders wichtig. Es liegt gerade in der Funktionsweise von Cloud Computing, dass Daten in Sekundenbruchteilen von einem Server zum nächsten transferiert werden. Nur so kann die Skalierbarkeit und somit Kostenersparnis realisiert werden. Aufgrund der großen Anzahl von Übertragungen entsteht ein erhöhtes Risiko für die Cloud-Anbieter, dass bei der Weitergabe der Daten nicht alle Sicherheitsanforderungen eingehalten werden.403 Deswegen sind gerade bei Cloud-Anbietern der Einsatz einer Ende-zu-Ende-Verschlüsselung und die lückenlose Protokollierung der Übertragungsvorgänge zwischen den Servern von überragender Bedeutung.404
400 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 1216 f. Rn. 44; Artikel-29-Datenschutzgruppe, WP 196, S. 18; BITKOM, Eckpunkte für sicheres Cloud Computing, S. 26 Tabelle 8; DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 32. 401 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 61; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 63. 402 Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 104. 403 Reindl, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 450. 404 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 67; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 449 f. Rn. 100; Artikel-29-Datenschutzgruppe, WP 196, S. 18 f.; Selzer, DuD 2013, 215 (216).
156
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(6) Eingabekontrolle (Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG) Der Cloud-Anbieter muss gem. Satz 2 Nr. 5 der Anlage zu § 9 Satz 1 BDSG gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Fehler müssen nachträglich erkannt und nachvollzogen werden können.405 Die Nachprüfbarkeit des Verarbeitungsvorgangs kann anhand von Protokollierung erfolgen.406 Der Cloud-Anbieter muss eine automatische Protokollierung der Datenverarbeitungsorte vornehmen. Er sollte alle Datenoperationen protokollieren, auch wenn eine zentrale Protokollierung der dezentralen Verarbeitung der Daten in der Cloud widerspricht.407 (7) Auftragskontrolle (Satz 2 Nr. 6 der Anlage zu § 9 Satz 1 BDSG) Es muss gem. Satz 2 Nr. 6 der Anlage zu § 9 Satz 1 BDSG gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Die Auftragskontrolle bezieht sich ausschließlich auf den Bereich der Auftragsdatenverarbeitung nach § 11 BDSG.408 Der Cloud-Anbieter muss die Auftragskontrolle durchführen. Auf der anderen Seite muss das Unternehmen Weisungen erteilen,409 die eindeutig und präzise übermittelt werden. Der Cloud-Anbieter muss dafür Sorge tragen, dass nicht von den erteilten Weisungen abgewichen wird.410 (8) Verfügbarkeitskontrolle (Satz 2 Nr. 7 der Anlage zu § 9 Satz 1 BDSG) Der Cloud-Anbieter muss gem. Satz 2 Nr. 7 der Anlage zu § 9 Satz 1 BDSG gewährleisten, dass personenbezogene Daten gegen zufällige Zerstö405 Schultze-Melling,
406 Gola / Schomerus,
in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 69. BDSG, § 9 Rn. 26; Plath, in: Plath (Hrsg.), BDSG, § 9
Rn. 45. 407 Brennscheidt, Cloud Computing und Datenschutz, S. 95; für weitere Maßnahmen siehe Münch, Technisch-organisatorischer Datenschutz – Leitfaden für Praktiker, S. 383 ff. 408 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 87; Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 48; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 73. 409 Gola / Schomerus, BDSG, § 9 Rn. 27. 410 Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 50 f.; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 75; für weitere Maßnahmen siehe Münch, Technischorganisatorischer Datenschutz – Leitfaden für Praktiker, S. 394.
II. Datenschutzrechtliche Rechtmäßigkeit157
rung oder Verlust geschützt sind. Die Verfügbarkeitskontrolle bezieht sich vor allem auf den Schutz vor Wasserschäden, Brand, Blitzschlag und Stromausfall.411 Maßnahmen können die Auslagerung von Sicherheitsko pien, Notstromaggregate, unterbrechungsfreie Stromversorgung usw. sein.412 Größere Cloud-Anbieter wie Google, Amazon und Microsoft haben weltweit eine große Anzahl von Rechenzentren. Da die Cloud-Anbieter von den Daten, die von den Cloud-Nutzern in die Cloud ausgelagert wurden, regelmäßig Backups anlegen, besteht keine große Gefahr, dass der Cloud-Nutzer wegen eines Problems beim Cloud-Anbieter nicht auf seine Daten zugreifen kann. Dennoch konnten bisweilen Unternehmen wegen Ausfalls der CloudInfrastruktur eine Zeit lang nicht mehr auf ihre Daten zugreifen. Teilweise war der Ausfall der Cloud-Infrastruktur sogar mit einem Datenverlust verbunden.413 (9) Trennungskontrolle (Satz 2 Nr. 8 der Anlage zu § 9 Satz 1 BDSG) Es muss gem. Satz 2 Nr. 8 der Anlage zu § 9 Satz 1 BDSG gewährleistet sein, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Die Trennung kann auch durch den Einsatz der Virtualisierungstechnologie erfolgen. Eine Trennung der Daten durch Speicherung auf verschiedenen Datenträgern ist nicht nötig.414 Beim Cloud Computing ist ein besonderes Augenmerk auf die Trennungskontrolle zu richten. Wegen der Virtualisierung beim Cloud Computing sind die personenbezogenen Daten der Cloud-Nutzer nicht physisch getrennt, liegen also nicht auf verschiedenen Servern. Um Skaleneffekte erzielen zu können und somit Kosten einzusparen, liegen die Daten mehrerer CloudNutzer auf demselben Server und werden nur durch den Einsatz von Software, nämlich durch den Einsatz des Hypervisors, getrennt. Der Cloud-Anbieter muss diverse Sicherheitsvorkehrungen gegen den Ausfall oder gegen ein Kompromittieren des Hypervisors treffen. Fällt in einer Public Cloud der Hypervisor aus oder kann jemand den Hypervisor umgehen, hat er nicht nur Zugang zu den Daten eines Cloud-Nutzers, sondern zu allen Daten der Cloud-Nutzer, deren Daten auf demselben Serververbund liegen.415 411 Gola / Schomerus, BDSG, § 9 Rn. 28; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 79. 412 Gola / Schomerus, BDSG, § 9 Rn. 28; für weitere Maßnahmen siehe Münch, Technisch-organisatorischer Datenschutz – Leitfaden für Praktiker, S. 395 ff. 413 Siehe dazu B. IX. 414 Gola / Schomerus, BDSG, § 9 Rn. 29. 415 Artikel-29-Datenschutzgruppe, WP 196, S. 19 f.; BITKOM, Eckpunkte für sicheres Cloud Computing, S. 26 Tabelle 8.
158
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(10) E inhalten der Auswahlpflicht bei der Auswahl eines Cloud-Anbieters Das Unternehmen muss den Cloud-Anbieter gem. § 11 Abs. 2 Satz 1 BDSG sorgfältig auswählen. Dem Unternehmen müssten hierzu Informationen über die getroffenen technischen und organisatorischen Maßnahmen durch den Cloud-Anbieter zugänglich gemacht werden, damit sich das Unternehmen von der Einhaltung überzeugen kann.416 Die Cloud-Struktur wird von den Cloud-Anbietern aber häufig verschleiert. Die Verschleierung soll Angriffe von Dritten erschweren. Außerdem befürchten die Cloud-Anbieter, dass ihre Konkurrenten die Cloud-Struktur kopieren könnten.417 Eine Entscheidung über die Auswahl des Cloud-Anbieters ist nur aufgrund der Informationen möglich, die die Cloud-Anbieter dem Unternehmen zur Verfügung stellen.418 (11) Kritik an der Anlage zu § 9 Satz 1 BDSG Der Katalog der technischen und organisatorischen Maßnahmen in der Anlage zu § 9 Satz 1 BDSG wird immer mehr kritisiert. Der Katalog wurde zu einer Zeit geschaffen, als die zentrale Datenverarbeitung noch üblich war. Mit den technischen Neuerungen wie Cloud Computing, Bring Your Own Device (BYOD), Smartphones usw. kann der Katalog selbst nach der teilweisen Neufassung im Zuge der Reform des BDSG im Jahr 2001 nicht Schritt halten. Der Katalog läuft deswegen zum Teil leer. Die Cloud-Anbieter müssen versuchen, trotz der teilweise überholten Regelungen des Katalogs hohe Datensicherheitsstandards zu schaffen. Die Sicherheitsvorkehrungen müssen dynamisch an den Fortschritt angepasst werden.419 bb) Vertragsgestaltung bei der Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 2 BDSG) Verträge über die Auftragsdatenverarbeitung müssen gem. § 11 Abs. 2 Satz 2 BDSG schriftlich geschlossen werden. Die Verträge müssen nicht nur die Weisungsgebundenheit des Cloud-Anbieters, sondern auch die erforderli416 Gaul / Koehler,
(806).
BB 2011, 2229 (2232); Heidrich / Wegener, MMR 2010, 803
417 Birk / Heinson / Wegener,
DuD 2011, 329 (330). CR 2010, 686 (688 f.). 419 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 9 Rn. 30; Plath, in: Plath (Hrsg.), BDSG, § 9 Rn. 22; Schultze-Melling, in: Taeger / Gabel (Hrsg.), BDSG, § 9 Rn. 42. 418 Niemann / Hennrich,
II. Datenschutzrechtliche Rechtmäßigkeit159
chen technischen und organisatorischen Maßnahmen festlegen. Außerdem muss eine Kontrolle des Cloud-Anbieters durch das Unternehmen erfolgen. Im Einzelnen müssen gem. § 11 Abs. 2 Satz 2 BDSG festgelegt werden: der Gegenstand und die Dauer des Auftrags (Nr. 1), der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (Nr. 2), die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen (Nr. 3), die Berichtigung, Löschung und Sperrung von Daten (Nr. 4), die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (Nr. 5), die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen (Nr. 6), die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (Nr. 7), mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen die im Auftrag getroffenen Festlegungen (Nr. 8), der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (Nr. 9) sowie die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (Nr. 10). Die Aufzählung in § 11 Abs. 2 Satz 2 BDSG betrifft den Mindestinhalt des Vertrags. Das Wort „insbesondere“ zeigt, dass die Aufzählung in § 11 Abs. 2 Satz 2 BDSG nicht abschließend ist, sondern ergänzt werden kann.420 Eine einfache Verweisung im Vertrag zwischen Cloud-Anbieter und Unternehmen auf die gesetzlichen Regelungen genügt nicht.421 Datenschutzbehörden – wie z. B. das Bayerische Landesamt für Datenschutzaufsicht – stellen Muster422 zur Gestaltung von Auftragsdatenverarbeitungsverträgen im Internet zur Verfügung. (1) Schriftformerfordernis Der Vertrag über die Auftragsdatenverarbeitung zwischen dem Unternehmen und dem Cloud-Anbieter muss nach dem BDSG unter Einhaltung der Schriftform i. S. v. § 126 BGB geschlossen werden. Das Schriftformerfordernis des § 11 Abs. 2 BDSG ist nach der h. M.423 konstitutiv, also zwingende 420 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 33; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 98; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 65; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 41. 421 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 52; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 358 f. Rn. 80. 422 Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG, S. 11 ff. 423 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 32; Gola / Schomerus, BDSG, § 11 Rn. 17; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 64; Eckhardt, DuD 2013, 585 (587); Kremer / Sander, ITRB 2014, 187 (188).
160
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Voraussetzung für eine Auftragsdatenverarbeitung nach § 11 BDSG. Wird die Schriftform i. S. v. § 126 BGB nicht eingehalten, führt das zur Nichtigkeit des Auftragsdatenverarbeitungsvertrags nach § 125 Satz 1 BGB.424 Das Schriftformerfordernis ist zwar ein Hindernis für die Nutzung von CloudDiensten, die es ermöglichen sollen, Ressourcen schnell und unkompliziert über das Internet buchen zu können. Kleine und mittelständische Unternehmen, die ihre Kunden- und Personaldaten an einen Cloud-Anbieter auslagern möchten, buchen jedoch nicht kurzfristig einen Cloud-Anbieter über das Internet, sondern überlegen sich zunächst eine Strategie für die Auslagerung der personenbezogenen Daten. Der Zeitfaktor spielt eine zu vernachlässigende Rolle.425 Der Cloud-Anbieter kann das Verfahren vereinfachen, indem er dem Unternehmen ein ausfüllbares PDF-Dokument zur Verfügung stellt, das das Unternehmen ausdrucken, unterschreiben und per Post an den Cloud-Anbieter zurücksenden kann.426 (2) G egenstand und Dauer des Auftrags (§ 11 Abs. 2 Satz 2 Nr. 1 BDSG) Das Unternehmen und der Cloud-Anbieter müssen gem. § 11 Abs. 2 Satz 2 Nr. 1 BDSG den Gegenstand und die Dauer des Auftrags festlegen. Die Parteien können den Gegenstand und die Dauer des Auftrags im Auftragsdatenverarbeitungsvertrag regeln. Dabei muss die konkrete Form der Datenverarbeitung genannt werden.427 Der Auftrag muss so aussagekräftig sein, dass die Form der Datenverarbeitung eindeutig einem Auftrag des Cloud-Anbieters zugeordnet werden kann.428 Der Gegenstand und die Dauer des Auftrags können sich aber auch aus dem der Auftragsdatenverarbeitung zugrunde liegenden Hauptvertrag ergeben, auf den der Auftragsdatenverarbeitungsvertrag verweisen kann.429 Der Cloud-Anbieter und das Unternehmen sollten SLA abschließen. In den SLA wird genau festgelegt, welche Leistungen der Cloud-Anbieter zu erbringen hat und welche Konsequenzen 424 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 64; Intveen / Hilber / Rabus, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 138 f. Rn. 21. 425 A. A. Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 278. 426 Intveen / Hilber / Rabus, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 138 Rn. 20. 427 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 34. 428 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 66. 429 Gola / Schomerus, BDSG, § 11 Rn. 18; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 99; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 358 Rn. 81.
II. Datenschutzrechtliche Rechtmäßigkeit161
sich für ihn ergeben, wenn er diese Leistungen nicht erbringen kann.430 Die Auftragsdatenverarbeitung kann befristet oder unbefristet mit angemessenen Kündigungsmöglichkeiten erfolgen.431 (3) U mfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen (§ 11 Abs. 2 Satz 2 Nr. 2 BDSG) Die Parteien müssen gem. § 11 Abs. 2 Satz 2 Nr. 2 BDSG den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung, die Art der Daten und den Kreis der Betroffenen festlegen. Umfang, Art und Zweck der vorgesehenen Verwendung von Daten, Art der Daten und Kreis der Betroffenen beziehen sich auf die in § 11 Abs. 2 Satz 2 Nr. 1 BDSG genannten Festlegungen über Gegenstand und Dauer des Auftrags und ergänzen diese.432 Erforderlich sind dabei „konkrete generelle Weisungen bezogen auf den Einzelfall und die einzelnen Verarbeitungsschritte“.433 Der Begriff der Datenart ist im Gesetz nicht definiert.434 Darunter können Kundendaten oder Personaldaten sowie besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG fallen.435 (4) N ach § 9 BDSG zu treffende technische und organisatorische Maßnahmen (§ 11 Abs. 2 Satz 2 Nr. 3 BDSG) Das Unternehmen und der Cloud-Anbieter müssen gem. § 11 Abs. 2 Satz 2 Nr. 3 BDSG die nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen konkret und einzelfallbezogen festlegen und benennen.436 Das Abschreiben der Anlage zu § 9 Satz 1 BDSG genügt nicht.437 430 Gola / Schomerus, BDSG, § 11 Rn. 18; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 358 Rn. 81. 431 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 41; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 66; Gabel, in Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 42. 432 Gola / Schomerus, BDSG, § 11 Rn. 18a; Gabel, in Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 43. 433 BT-Drs. 16 / 12011, S. 40; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 68. 434 Gola / Schomerus, BDSG, § 11 Rn. 18a; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 70. 435 Gola / Schomerus, BDSG, § 11 Rn. 18a; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 101. 436 Gola / Schomerus, BDSG, § 11 Rn. 18b; Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 41; Plath, in: Plath (Hrsg.), BDSG, § 11
162
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(5) B erichtigung, Löschung und Sperrung von Daten (§ 11 Abs. 2 Satz 2 Nr. 4 BDSG) Die Parteien müssen gem. § 11 Abs. 2 Satz 2 Nr. 4 BDSG die Berichtigung, Löschung und Sperrung von Daten festlegen. Das Unternehmen muss durch Festlegung von Maßnahmen mit dem Cloud-Anbieter vereinbaren, dass es als verantwortliche Stelle den Rechten der Betroffenen Geltung verschaffen kann.438 Dies kann durch technische Maßnahmen geschehen oder über die Verpflichtung des Cloud-Anbieters, Aufforderungen des Unternehmens zur Berichtigung, Löschung oder Sperrung der Daten nachzukommen.439 Bei der Löschung von in die Cloud ausgelagerten Daten besteht das Problem, dass das Unternehmen nicht vollständig sicher sein kann, ob der Cloud-Anbieter die Daten wirklich gelöscht hat. Es ist deshalb ratsam, eine vertragliche Vereinbarung über die Löschung von Daten zu treffen.440 (6) N ach § 11 Abs. 4 BDSG bestehende Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen (§ 11 Abs. 2 Satz 2 Nr. 5 BDSG) Das Unternehmen und der Cloud-Anbieter müssen gem. § 11 Abs. 2 Satz 2 Nr. 5 BDSG die nach § 11 Abs. 4 BDSG bestehenden Pflichten des Cloud-Anbieters, insbesondere die von ihm vorzunehmenden Kontrollen, festlegen. Der Cloud-Anbieter muss auf die von ihm vorzunehmenden Kontrollen hingewiesen werden.441 Im Vertrag müssen auch konkrete Vorgaben getroffen werden, zu welchen Zeitpunkten und auf welche Art und Weise die Kontrollen durchgeführt werden.442 Das Unternehmen sollte darüber hinaus darauf bestehen, dass die Mitarbeiter des Cloud-Anbieters auf das Datengeheimnis i. S. v. § 5 BDSG verpflichtet werden, und dass der CloudAnbieter den betrieblichen Datenschutzbeauftragten i. S. v. §§ 4f, 4g BDSG Rn. 102; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 73; Gabel, in Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 44. 437 Gola / Schomerus, BDSG, § 11 Rn. 18b; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 73; Gabel, in Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 44. 438 Gola / Schomerus, BDSG, § 11 Rn. 18c; Plath, in: Plath (Hrsg.), BDSG § 11 Rn. 103; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 74; Gabel, in Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 45. 439 Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 360 f. Rn. 85. 440 DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 27. 441 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 43. 442 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 75.
II. Datenschutzrechtliche Rechtmäßigkeit163
gegenüber dem Unternehmen benennt, der für das Unternehmen als Ansprechpartner für die Auftragsdatenverarbeitung dient.443 (7) B erechtigung zur Begründung von Unterauftragsverhältnissen (§ 11 Abs. 2 Satz 2 Nr. 6 BDSG) Die Parteien müssen gem. § 11 Abs. 2 Satz 2 Nr. 6 BDSG festlegen, ob der Cloud-Anbieter dazu berechtigt ist, Unterauftragsverhältnisse zu begründen. Der Einsatz von Subunternehmern ist beim Cloud Computing die Regel.444 Der Wortlaut von § 11 Abs. 2 Satz 2 Nr. 6 BDSG spricht dafür, dass zwar festgelegt werden muss, ob Unterauftragsverhältnisse geschlossen werden können, nicht aber, mit wem die Unterauftragsverhältnisse geschlossen werden.445 Die Cloud-Anbieter haben ein großes Interesse daran, sich nicht schon von Beginn an auf einzelne Unterauftragnehmer festzulegen, weil sie ihre Flexibilität dadurch einschränken würden.446 Es kommen zwei Möglichkeiten für die Einbindung von Unterauftragnehmern durch den Cloud-Anbieter in Betracht: Ein Zustimmungsvorbehalt des Unternehmens gegenüber dem Cloud-Anbieter oder ein Sonderkündigungsrecht des Unternehmens, wenn der Cloud-Anbieter einen Unterauftragnehmer bei der Auslagerung der Daten einsetzt, mit dem das Unternehmen nicht einverstanden ist.447 (8) K ontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers (§ 11 Abs. 2 Satz 2 Nr. 7 BDSG) Das Unternehmen und der Cloud-Anbieter müssen gem. § 11 Abs. 2 Satz 2 Nr. 7 BDSG die Kontrollrechte des Unternehmens und die entsprechenden Duldungs- und Mitwirkungspflichten des Cloud-Anbieters festlegen. Dem Auftraggeber steht nach § 11 Abs. 2 Satz 4 BDSG ein Kontrollrecht zu. Im BDSG ist aber keine Duldungspflicht des Auftragsdatenverarbeiters geregelt. Die Duldungspflicht des Auftragsdatenverarbeiters muss 443 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 46; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 361 f. Rn. 86 f. 444 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 57; Marnau / Schirmer / Schlehahn / Schunter, DuD 2011, 333 (336). 445 Gola / Schomerus, BDSG, § 11 Rn. 18e; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 57; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 47. 446 Gaul / Koehler, BB 2011, 2229 (2232). 447 Eckhardt, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 108 f.; Bergt, DuD 2013, 796 (798); Eckhardt, DuD 2013, 585 (587).
164
C. Auslagerung von Kunden- und Personaldaten in die Cloud
vertraglich festgelegt werden.448 Das Unternehmen muss sich ein Zutrittsrecht zu den Servern des Cloud-Anbieters geben lassen. Die meisten CloudAnbieter werden dies aber nicht gestatten. Deshalb muss das Unternehmen den Cloud-Anbieter dazu verpflichten, dass er auf Aufforderung Auskunft erteilt bzw. Unterlagen oder Zertifikate vorlegt.449 (9) M itteilungen über Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen die im Auftrag getroffenen Festlegungen (§ 11 Abs. 2 Satz 2 Nr. 8 BDSG) Die Parteien müssen gem. § 11 Abs. 2 Satz 2 Nr. 8 BDSG die mitzuteilenden Verstöße des Cloud-Anbieters oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen vertraglich regeln. Es muss festgelegt werden, dass eine Mitteilungspflicht des Cloud-Anbieters besteht, wenn Daten nach § 42a BDSG unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Darüber hinaus muss das Unternehmen den Cloud-Anbieter verpflichten, dass der Cloud-Anbieter das Unternehmen bei seinen Pflichten als verantwortliche Stelle im Falle des § 42a BDSG unterstützt.450 (10) U mfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält (§ 11 Abs. 2 Satz 2 Nr. 9 BDSG) Das Unternehmen und der Cloud-Anbieter müssen gem. § 11 Abs. 2 Satz 2 Nr. 9 BDSG den Umfang der Weisungsbefugnisse des Unternehmens über den Cloud-Anbieter festlegen. In der Praxis werden Formulierungen verwendet, die dem Auftraggeber ein pauschales Weisungsrecht einräumen: „Der Auftragnehmer hat die datenschutzrechtlichen Weisungen des Auftraggebers zu befolgen.“451 Bei Auftragsdatenverarbeitungsverträgen mit großen Cloud-Anbietern ist es aufgrund der wirtschaftlichen Übermacht und dem Grad der Standardisierung des Angebots nur schwer möglich, ein weitreichendes Weisungsrecht zu vereinbaren. Das Weisungsrecht des Unterneh448 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 50; Kremer, ITRB 2014, 60 (63); Selzer, DuD 2013, 215 (216). 449 Gola / Schomerus, BDSG, § 11 Rn. 18f; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 78. 450 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 51; Gola / Schomerus, BDSG, § 11 Rn. 18g; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 80; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 49. 451 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 110.
II. Datenschutzrechtliche Rechtmäßigkeit165
mens muss aber dennoch so weit ausgestaltet sein, um die Anforderungen an eine Auftragsdatenverarbeitung zu erfüllen.452 (11) R ückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags (§ 11 Abs. 2 Satz 2 Nr. 10 BDSG) Die Parteien müssen gem. § 11 Abs. 2 Satz 2 Nr. 10 BDSG eine Regelung über die Rückgabe überlassener Datenträger und die Löschung der beim Cloud-Anbieter gespeicherten Daten nach Beendigung des Auftrags treffen. Das Unternehmen sollte eine Regelung mit dem Cloud-Anbieter treffen, wonach bei Beendigung des Vertrags der Cloud-Anbieter dem Unternehmen die übermittelten Kunden- und Personaldaten in einem standardisierten Format zur Verfügung stellen muss, um einen Vendor Lock-In Effekt zu vermeiden. Das Unternehmen muss mit dem Cloud-Anbieter vereinbaren, dass keine personenbezogenen Daten des Unternehmens wiederherstellbar beim CloudAnbieter zurückbleiben dürfen.453 Da bei Cloud-Diensten die Daten von mehreren Personen auf einem physischen Datenträger gespeichert sind, kann das Unternehmen nicht verlangen, dass der Datenträger nach Ende des Vertrags zerstört wird.454 Allerdings muss der Cloud-Anbieter dem Unternehmen versichern, dass Löschverfahren eingesetzt werden, die die Daten vollständig und unwiederbringlich von den Datenträgern löschen. Es muss damit auch gewährleistet werden, dass der nächste Cloud-Nutzer, dem derselbe Speicherplatz zugewiesen wird, keinen Zugriff auf die Daten des vorhergehenden Cloud-Nutzers hat. Auch muss vertraglich festgelegt werden, dass sämtliche Backups, die bedingt durch die Redundanz des CloudSystems vorhanden sind, ebenso vernichtet werden.455 (12) Kontrolle des Cloud-Anbieters und Dokumentation der Kontrollen Das auslagernde Unternehmen hat sich gem. § 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung 452 Zur
Weisungsgebundenheit bei der Auftragsdatenverarbeitung siehe C. II. 5. d). BDSG, § 11 Rn. 18i; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 51. 454 Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 367 Rn. 102. 455 Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 52; Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1239 Rn. 90. 453 Gola / Schomerus,
166
C. Auslagerung von Kunden- und Personaldaten in die Cloud
der beim Cloud-Anbieter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist gem. § 11 Abs. 2 Satz 5 BDSG zu dokumentieren. Das BDSG regelt nicht im Detail, wie die Kontrollen im Einzelfall durchzuführen sind. Aus der Gesetzesbegründung456 ergibt sich, dass eine Kontrolle vor Ort nicht immer nötig ist.457 Die Erfüllung der Verpflichtung zu Kontrollen ist auch auf andere Weise möglich.458 Die Intensität der Kontrolle ergibt sich aus dem Umfang und der Komplexität der Datenverarbeitung und der Schutzbedürftigkeit der Daten.459 Es bietet sich an, die Kontrollen vor Beginn der Datenverarbeitung getrennt von den regelmäßigen Kontrollen während der Datenverarbeitung zu betrachten. (a) Kontrolle vor Beginn der Datenverarbeitung Ein Unterlassen der Kontrolle vor Beginn der Datenverarbeitung (sog. „Erstkontrolle“) ist gem. § 43 Abs. 1 Nr. 2 lit. b) BDSG bußgeldbewehrt.460 Generell muss eine Kontrolle vor Ort auf jeden Fall bei Zweifeln an der Zuverlässigkeit des Cloud-Anbieters erfolgen. Indizien können dabei das Fehlen einer Zertifizierung oder negative Erfahrungen mit dem Cloud-Anbieter in der Vergangenheit sein.461 Zweck der Erstkontrolle ist es, sicherzustellen, dass die technischen und organisatorischen Maßnahmen eingehalten werden, bevor die personenbezogenen Daten der Betroffenen tatsächlich im Rahmen der Auftragsdatenverarbeitung durch die ungenügende Umsetzung der Maßnahmen gefährdet werden können.462 Bei Auftragnehmern mit Sitz außerhalb der EU bzw. des EWR ist eine Kontrolle vor Ort immer nötig, um beurteilen zu können, ob beim CloudAnbieter ein angemessenes Datenschutzniveau besteht.463 Bei Auftragneh456 BT-Drs. 16 / 13657,
S. 18. in: Plath (Hrsg.), BDSG, § 11 Rn. 55; Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 92; Bergt, ITRB 2013, 45 (46); Eckhardt, DuD 2013, 585 (588); Vander, K&R 2010, 292 (295). 458 Gola / Schomerus, BDSG, § 11 Rn. 21; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 59. 459 Bergt, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 46; Bergt, DuD 2013, 796 (799). 460 Gola / Schomerus, BDSG, § 11 Rn. 21, 28; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 35; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Comput ing, S. 368 Rn. 104. 461 Hallermann, RDV 2012, 226. 462 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 36; Bergt, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 46; Bergt, ITRB 2012, 45 (46); Bergt, DuD 2013, 796 (799). 463 Hallermann, RDV 2012, 226 (227). 457 Plath,
II. Datenschutzrechtliche Rechtmäßigkeit167
mern mit Sitz innerhalb der EU bzw. des EWR muss eine Vor-Ort-Kontrolle nicht unbedingt erfolgen. Sie muss aber dann erfolgen, wenn besonders sensible Daten dort verarbeitet werden.464 Bei der Frage, ob Vor-Ort-Kontrollen durchgeführt werden sollen, muss die Schutzbedürftigkeit der Daten, die Dauer der Verarbeitung, deren Intensität und deren Zweckbestimmung berücksichtigt werden.465 Eine Vor-Ort-Kontrolle kann entbehrlich sein, wenn sich der Auftraggeber auch auf dem Postweg von der Einhaltung der technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen kann.466 (b) Regelmäßige Kontrolle während der Datenverarbeitung Für die regelmäßigen Kontrollen während der Datenverarbeitung gelten weniger strenge Maßstäbe als bei der Kontrolle vor Beginn der Datenverarbeitung, da gem. § 43 Abs. 1 Nr. 2 lit. b) BDSG nur derjenige ordnungswidrig handelt, der sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt. Die regelmäßigen Kontrollen während der Datenverarbeitung werden in § 43 Abs. 1 Nr. 2 lit. b) BDSG nicht erwähnt. Das deutet darauf hin, dass sie vom Gesetzgeber als nicht so wichtig wie die Kontrollen vor Beginn der Datenverarbeitung angesehen wurden. (c) Vorgehensweise bei Kontrollen Die Kontrollen müssen nach einem festen Konzept erfolgen. Zunächst müssen die einzelnen Datenverarbeitungsschritte in verschiedene Risikostufen eingeteilt werden. Dabei ist nach den oben genannten Kriterien zu fragen, ob eine Vor-Ort-Kontrolle erfolgen muss oder ob das Postverfahren ausreicht. In einem nächsten Schritt müssen die zeitlichen Abstände der Erst- und Folgekontrollen festgesetzt werden.467 Das BDSG sieht keine festen Fristen für die Durchführung der Kontrollen vor.468 Es empfiehlt sich aber, bei der Terminierung der zeitlichen Intervalle Faktoren wie die Sensibilität der Daten und das Sicherheitsniveau beim Auftragnehmer zu beachten.469 Normalerweise liegt die Pflicht zur Durchführung der Kontrollen 464 Hallermann,
RDV 2012, 226 (227). RDV 2012, 226 (227). 466 Hallermann, RDV 2012, 226 (227). 467 Hallermann, RDV 2012, 226 (229). 468 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 37; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 113; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 61. 469 BT-Drs. 17 / 5200, S. 34; Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 56; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 37; Plath, in: 465 Hallermann,
168
C. Auslagerung von Kunden- und Personaldaten in die Cloud
zwischen ein und drei Jahren. Sollten aber Änderungen an den technischen und organisatorischen Maßnahmen nötig sein, müssen die Kontrollen früher durchgeführt werden.470 Schließlich muss eine konkrete Checkliste erarbeitet werden.471 Die Durchführung der Kontrollen muss dokumentiert werden, um auch gegenüber den Aufsichtsbehörden nachweisen zu können, dass das Unternehmen seinen Kontrollpflichten nachgekommen ist.472 Der Gesetzgeber hat für die Dokumentation in § 11 Abs. 2 Satz 5 BDSG weder Form noch Inhalt vorgeschrieben.473 Das Protokoll muss die Zeit und den Ort der Prüfung, die Prüfungsbeteiligten, die Prüfungsthemen und die Prüfungsresultate sowie gegebenenfalls zu treffende Maßnahmen enthalten.474 (d) Problematik der Durchführung von Kontrollen beim Cloud Computing Problematisch ist, wie ein kleines oder mittelständisches Unternehmen den Kontrollpflichten nach § 11 BDSG i. V. m. § 9 BDSG – insbesondere einer Kontrolle vor Ort – in den abgeschotteten und weltweit verteilten Rechenzentren nachkommen kann und der Cloud-Anbieter dem Transparenzgebot ausreichend Rechnung tragen kann. Die Cloud-Anbieter gewähren den Cloud-Nutzern häufig nicht den Zugang zu ihren streng geschützten Rechenzentren. Ein „Prüftourismus“, d. h. das Kontrollieren der Rechenzentren des Cloud-Anbieters durch die CloudNutzer, ist in der Praxis schlecht umsetzbar. Das ständige Kommen und Gehen der Cloud-Nutzer würde die Abläufe beim Cloud-Anbieter sehr stören. Des Weiteren besteht bei einer so großen Zahl von Besuchern ein erhebliches Sicherheitsrisiko für den Cloud-Anbieter.475 Das auslagernde Unternehmen müsste alle Rechenzentren, die seine Daten speichern könnten, Plath (Hrsg.), BDSG, § 11 Rn. 113; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 58; Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 93. 470 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 37. 471 Hallermann, RDV 2012, 226 (229). 472 Gola / Schomerus, BDSG, § 11 Rn. 21a; Wedde, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 11 Rn. 58; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 39. 473 Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 94. 474 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 39. 475 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1217 f. Rn. 49; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 369 Rn. 106; Arbeitsgruppe „Rechtsrahmen des Cloud Computing“, Thesenpapier – Datenschutzrechtliche Lösungen für Cloud Computing, S. 8 f.; Eckhardt / Kramer, DuD 2014, 147 (150); Rath / Rothe, K&R 2013, 623 (627); Schrotz /
II. Datenschutzrechtliche Rechtmäßigkeit169
kontrollieren, was sehr kostspielig und aufwändig, wenn nicht sogar praktisch unmöglich ist.476 Eine Kontrolle der Cloud-Anbieter kann auch daran scheitern, dass das Unternehmen, das Daten in die Cloud auslagern möchte, nicht das technische Know-how hat, um beurteilen zu können, ob die Datensicherheitsmaßnahmen beim Cloud-Anbieter ausreichen, um die Daten entsprechend zu schützen.477 Eine Vor-Ort-Kontrolle der Rechenzentren der Cloud-Anbieter durch die Cloud-Nutzer ist in der Praxis nicht durchführbar. Gibt es keine andere Möglichkeit für das Unternehmen, die Kontrolle aus § 11 Abs. 2 Satz 4 BDSG durchzuführen, ist die Auslagerung von Kunden- bzw. Personaldaten an einen Cloud-Anbieter im Rahmen einer Auftragsdatenverarbeitung nicht datenschutzkonform möglich. (e) Zertifizierung Eine Vorgehensweise, den Anforderungen von § 11 Abs. 2 Satz 4 BDSG zu genügen, besteht darin, die Kontrollen der Cloud-Nutzer zu bündeln. Die einzelnen Unternehmen führen dann keine Eigenkontrollen durch, sondern es erfolgt eine Überprüfung des Cloud-Anbieters durch eine unabhängige Stelle.478 Damit es wiederum nicht zu einem „Prüftourismus“ durch eine große Zahl von unabhängigen Dritten beim Cloud-Anbieter kommt, kann der Cloud-Anbieter selbst an eine unabhängige Stelle herantreten und sich dort auditieren bzw. zertifizieren lassen.479 In § 9a BDSG ist das Datenschutzaudit geregelt. Nach § 9a Satz 2 BDSG soll ein besonderes Gesetz die Anforderungen an die Durchführung eines Datenschutzaudits regeln. Ein Datenschutzauditgesetz wurde aber bisher Zdanowiecki, CR 2015, 485 (488); Selzer, DuD 2013, 215 (216); Thalhofer, CCZ 2011, 222 (223). 476 Gola / Schomerus, BDSG, § 11 Rn. 21; Becker, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 356 f.; Heidrich / Wegener, MMR 2010, 803 (806); Niemann / Hennrich, CR 2010, 686 (691). 477 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1217 f. Rn. 49; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 369 Rn. 106; Hansen, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 89; Bedner, Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, S. 146 f.; Brennscheidt, Cloud Computing und Datenschutz, S. 103; Borges, DuD 2014, 165 (166); Foitzick / Plankemann, CCZ 2015, 180 (182); Grenzer / Heitmüller, PinG 2014, 221 (224); Kühling / Biendl, CR 2014, 150 (152). 478 Arbeitsgruppe „Rechtsrahmen des Cloud Computing“, Thesenpapier – Datenschutzrechtliche Lösungen für Cloud Computing, S. 13. 479 Eckhardt / Kramer, DuD 2014, 147 (150); Kühling / Biendl, CR 2014, 150 (152).
170
C. Auslagerung von Kunden- und Personaldaten in die Cloud
nicht erlassen.480 Somit kennt zwar das BDSG ein Datenschutzaudit, regelt aber nicht, wie das Audit ablaufen soll. Auch die Orientierungshilfe Cloud Computing481 hat erkannt, dass es gerade beim Cloud Computing dem Auftraggeber nicht immer möglich ist, Vor-Ort-Kontrollen durchzuführen. Zusicherungen des Cloud-Anbieters bezüglich der Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen allein reichen aber nicht aus. Das Unternehmen muss sich aktiv von der Einhaltung der technischen und organisatorischen Maßnahmen vergewissern. Dies setzt aber nicht voraus, dass das Unternehmen selbst den Cloud-Anbieter überprüft, sondern es ist möglich, unabhängige Dritte einzusetzen, die eine Zertifizierung des Cloud-Anbieters vornehmen. Mit einer Zertifizierung entfällt aber nicht die Kontrollpflicht des Unternehmens. Vielmehr muss das Unternehmen anhand der zur Verfügung gestellten Dokumente der unabhängigen Prüfstelle selbst nachvollziehen, ob der CloudAnbieter die datenschutzrechtlichen Voraussetzungen einhält. Derartige Zertifikate482 vergeben unabhängige Institutionen.483 Eine Selbstzertifizierung genügt nicht den Anforderungen an eine zuverlässige Prüfung.484 Bei der Zertifizierung der Cloud-Anbieter durch unabhängige Dritte können die Funktionsweise der Cloud-Infrastruktur und die exakten Datenverarbeitungsorte gegenüber den Cloud-Nutzern geheim bleiben.485 Die unabhängige Institution hat im Gegensatz zu vielen kleinen und mittelständischen Unternehmen das technische Know-how, festzustellen, ob die erforderlichen Maßnahmen durch den Cloud-Anbieter getroffen wurden.486 Die Überprüfung durch eine unabhängige Institution, die vor Ort in den Rechenzentren der Cloud-Anbieter durchgeführt wird, kann vom CloudAnbieter auch gut als Werbemaßnahme eingesetzt werden.487 Das Zertifikat gilt nur eine gewisse Zeitspanne lang. Läuft diese Zeitspanne ab, muss eine neue Überprüfung stattfinden. So wird sichergestellt, dass das Sicherheitsniveau auf dem aktuellsten Stand der Technik ist.488 480 Scholz, in: Simitis (Hrsg.), BDSG, § 9a Rn. 1; Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 9a Rn. 1. 481 DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 10. 482 Siehe ausführlich zu Zertifikaten Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 287 ff. 483 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1218 Rn. 51. 484 Weichert, DuD 2010, 679 (685). 485 Opfermann, ZEuS 2012, 121 (136). 486 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1218 Rn. 51. 487 Brennscheidt, Cloud Computing und Datenschutz, S. 106 f.
II. Datenschutzrechtliche Rechtmäßigkeit171
Zertifikate für IT-Outsourcing sind z. B. das ISO 20 000 Zertifikat, das ISO 27 001 Zertifikat und die IT-Grundschutz Zertifizierung des BSI. Diese Zertifikate geben aber nur Auskunft über das Management der IT-Sicherheit, jedoch nicht über die Einhaltung des Datenschutzes.489 Das ISO 27 001 Zertifikat ist ein wichtiges Zertifikat für die IT-Sicherheit; allerdings genügt es im Rahmen vom Cloud Computing allein nicht, damit das Unternehmen der Kontrollpflicht aus § 11 Abs. 2 Satz 4 BDSG genügen kann. Im August 2014 wurde ein neuer internationaler Standard zum Schutz personenbeziehbarer Informationen in öffentlichen Cloud-Systemen durch Verarbeiter, der sog. „ISO / IEC 27 018 Standard“, verabschiedet. ISO / IEC 27 018 baut u. a. auf das ISO 27 001 Zertifikat auf und behandelt die Verarbeitung personenbezogener Daten durch Anbieter von Cloud-Diensten. Allerdings sind auch in dem ISO / IEC 27 018 Standard nur Minimalanforderungen zum Schutz personenbezogener Daten in Cloud-Systemen geregelt. Der Standard ISO / IEC 27 018 kann deshalb nur als Basis für eine umfangreiche Zertifizierung eines Cloud-Anbieters dienen.490 Es gibt auch Zertifikate, die speziell auf Cloud Computing ausgerichtet sind. Beispiele hierfür sind das EuroCloud Star Audit491, die Trust-in-Cloud Zertifizierung492, die „Trusted Cloud“-Zertifizierung493, das European Privacy Seal494 und die Zertifizierung von Cloud-Audit495.496 Das European Privacy Seal (EuroPriSe) der EuroPriSe GmbH beispielsweise ist ein europaweit angebotenes Datenschutzsiegel. Die EuroPriSe GmbH akkreditiert Gutachter, die die Zertifizierungen vornehmen. Es können sowohl IT-Produkte als auch auf IT-basierte Dienstleistungen zertifiziert werden. Auch eine Zertifizierung im Rahmen einer Auftragsdatenverarbeitung ist möglich. Ein Cloud-Anbieter kann einen SaaS-Dienst als IT-basierten Dienst zertifizieren lassen. Der Zertifizierung liegt ein spe 488 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1219 Rn. 52; Brennscheidt, Cloud Computing und Datenschutz, S. 109. 489 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 35 f. 490 Conrad / Strittmatter, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 954 ff. Rn. 165 ff.; Konrad-Klein, CuA 2015, 23 ff. 491 EuroCloud Star Audit, https: // staraudit.org / de.html. 492 Trust in Cloud, http: // www.trustincloud.org. 493 Arbeitsgruppe „Rechtsrahmen des Cloud Computing“, Thesenpapier – Datenschutzrechtliche Lösungen für Cloud Computing, S. 1 ff. 494 EuroPriSe, https: // www.european-privacy-seal.eu. 495 Cloud-Audit, http: // cloudaudit.org / CloudAudit / Home.html. 496 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1219 f. Rn. 54 f.
172
C. Auslagerung von Kunden- und Personaldaten in die Cloud
zielles Zertifizierungsverfahren mit gewissen Zertifizierungskriterien zugrunde.497 d) Weisungsgebundenheit (§ 11 Abs. 3 BDSG) Der Cloud-Anbieter darf gem. § 11 Abs. 3 Satz 1 BDSG die Daten nur im Rahmen der Weisungen des Unternehmens erheben, verarbeiten oder nutzen. Das Unternehmen als verantwortliche Stelle muss dem Cloud-Anbieter Weisungen erteilen. Der Cloud-Anbieter muss diese Weisungen einhalten. Diese Weisungsgebundenheit stellt beim Einsatz von Cloud-Lösungen, besonders aber beim Einsatz einer Public Cloud, das Unternehmen vor Probleme. Die Cloud-Anbieter bestimmen von Anfang an, wie sie ihre CloudDienste aufbauen, umsetzen und anbieten möchten. Das Unternehmen kann den Cloud-Anbietern in dieser Hinsicht keine Weisungen erteilen. Überdies sind bei den großen Cloud-Anbietern, wie z. B. Google, Amazon oder Microsoft, die Abläufe derart standardisiert, dass eine Weisungserteilung nicht möglich ist.498 Zu dem technischen Problem der Standardisierung gesellt sich hinzu, dass die großen Cloud-Anbieter gegenüber kleinen und mittelständischen Unternehmen wirtschaftliche Übermacht besitzen. So kommt es selten zu echten Verhandlungen der großen Cloud-Anbieter mit den kleinen und mittelständischen Unternehmen. Vielmehr zwingen die großen Cloud-Anbieter den kleinen und mittelständischen Unternehmen ihre Standardvertragsbedingungen auf.499 § 11 Abs. 3 Satz 1 BDSG zeigt mit dem Wortlaut „im Rahmen der Weisungen“ jedoch, dass ein gewisser gesetzlicher Spielraum beim Nachkommen der Weisungen des Unternehmens besteht.500
497 Siehe dazu Meissner, DuD 2014, 153 ff. mit genauen Angaben, wie das Zertifizierungsverfahren für das EuroPriSe-Siegel vonstatten geht. 498 Intveen / Hilber / Rabus, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 134 f. Rn. 7; Artikel-29-Datenschutzgruppe, WP 196, S. 10; Opfermann, ZEuS 2012, 121 (135); Thalhofer, CCZ 2011, 222 (223); Weichert, DuD 2010, 679 (685). 499 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1214 f. Rn. 39; ENISA, Cloud Computing – Benefits, risks and recommendations for information security, S. 105 f.; Gaul / Koehler, BB 2011, 2229 (2232); Heidrich / Wegener, MMR 2010, 803 (806). 500 Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 221 ff.
II. Datenschutzrechtliche Rechtmäßigkeit173
Ein Unternehmen, das seine Kunden- bzw. Personaldaten in eine Cloud auslagern möchte, kann der Pflicht zur Erteilung von Weisungen aus § 11 Abs. 3 Satz 1 BDSG dadurch nachkommen, dass es seine Weisungsbefugnis durch das Treffen bestimmter Entscheidungen vorverlagert, wie durch Wahl des Cloud-Anbieters, des Cloud-Modells und des Cloud-Services. Indem sich das Unternehmen für ein Cloud-Modell und Angebot eines Cloud-Anbieters entscheidet, macht es seine Weisungsbefugnis geltend.501 Auch entscheidet das Unternehmen allein, ob und welche Schritte es in die Cloud auslagern möchte.502 Stellt der Cloud-Anbieter dem Unternehmen umfangreiche Informationen über die vom Cloud-Anbieter getroffenen technischen und organisatorischen Maßnahmen zur Verfügung, kann es seine Weisungsbefugnis insoweit ausüben, als es bei Unzufriedenheit über den aktuellen Cloud-Anbieter zu einem anderen Cloud-Anbieter wechseln kann.503 e) Einsatz von Unterauftragnehmern § 11 Abs. 2 Satz 2 Nr. 6 BDSG zeigt, dass die Einschaltung von Unterauftragnehmern im Rahmen einer Auftragsdatenverarbeitung zulässig ist. Gerade bei der Einschaltung eines Cloud-Anbieters als Auftragsdatenverarbeiter kommt es häufig vor, dass der Cloud-Anbieter teilweise die Leistung nicht selbst erbringt, sondern Unterauftragnehmer einschaltet.504 Dabei sind auch mehrstufige Unterauftragsverhältnisse zulässig. Ein Unterauftragnehmer kann seinerseits wieder einen Unter-Unterauftragnehmer einschalten. Eine maximale Länge dieser mehrstufigen Aneinanderreihung von Unterauftragnehmern, die selbst Unterauftragnehmer einschalten, ist im Gesetz nicht geregelt. Eine zu lange Aneinanderreihung von Unterauftragnehmern sollte in der Praxis aber vermieden werden.505 Die Pflichten des Auftraggebers – wie Auswahl und Kontrolle der Auftragnehmer – wirken dann gegenüber jedem Auftragnehmer in der Aneinanderreihung. Der Auftraggeber bleibt bezogen auf alle Unterauftragnehmer innerhalb der Aneinanderreihung die verantwortliche Stelle.506 Die Auswahl und Kontrolle der 501 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1215 Rn. 40. 502 Artikel-29-Datenschutzgruppe, WP 196, S. 10. 503 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1217 Rn. 47 f. 504 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 57; Marnau / Schirmer / Schlehahn / Schunter, DuD 2011, 333 (336); Niemann / Hennrich, CR 2010, 686 (691). 505 Kremer, ITRB 2014, 60 (64 ff.); Niemann / Hennrich, CR 2010, 686 (692). 506 Kremer, ITRB 2014, 60 (64).
174
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Unterauftragnehmer können aber an den jeweiligen (Unter-)Auftragnehmer übertragen werden. Die Aufsichtsbehörden verlangen aber, dass sich der Auftraggeber ein Prüfrecht gegenüber jedem Unterauftragnehmer vorbehält, falls der jeweilige (Unter-)Auftragnehmer die Kontrollen nicht zufriedenstellend durchführt.507 Vertragsbeziehungen bestehen nur zwischen Auftraggeber und Auftragnehmer, wenn man die Aneinanderreihung von Unterauftragnehmern weiter verfolgt, zwischen jeweiligem Auftragnehmer und (Unter-)Auftragnehmer. Bei einer derartigen Konstellation könnte deshalb der Auftraggeber seine Rechte gegenüber den (Unter-)Unterauftragnehmern nur über die jeweiligen Verträge zwischen Auftragnehmer und Unterauftragnehmer durchsetzen. Daher muss jeder Vertrag eines Auftragnehmers mit einem Unterauftragnehmer in der mehrstufigen Aneinanderreihung von Unterauftragnehmern als Vertrag zugunsten Dritter gem. § 328 Abs. 1 BGB ausgestaltet sein, damit der Auftraggeber direkt dem jeweiligen Auftragnehmer in der Aneinanderreihung Weisungen erteilen kann.508 Kann der Auftraggeber in der Aneinanderreihung der Unterauftragnehmer seine Kontrollrechte nicht mehr über den Auftragsdatenverarbeitungsvertrag gegenüber einem Unterauftragnehmer geltend machen, dann liegt in diesem Verhältnis keine Auftragsdatenverarbeitung mehr vor. Der Auftraggeber wäre nicht mehr „Herr der Daten“. Es läge in diesem und in den in der Aneinanderreihung dahinter folgenden Vertragsbeziehungen eine rechtfertigungsbedürftige Übermittlung vor.509 f) Privilegierungswirkung der Auftragsdatenverarbeitung Liegen die oben510 genannten Voraussetzungen einer Auftragsdatenver arbeitung zwischen dem Unternehmen und dem Cloud-Anbieter vor, ergibt sich daraus die Privilegierungswirkung der Auftragsdatenverarbeitung.511 507 23. Bericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LTDrs. 18 / 2942, S. 17 f.; Simitis, in: Simitis (Hrsg.), BDSG, § 11 Rn. 76; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 47; Kremer, ITRB 2014, 60 (64). 508 Kremer, ITRB 2014, 60 (65); a. A. Bongers / Krupna, RDV 2014, 19 ff., die bei der Konzeption der Unterauftragsverhältnisse das sog. „Stufenmodell“ bevorzugen. Das Stufenmodell sehe vor, dass es keine unmittelbaren rechtlichen Beziehungen zwischen Auftraggeber und Unterauftragnehmer gebe. Vielmehr sei der Auftragnehmer der Auftraggeber des Unterauftragnehmers und der Auftraggeber sei der „Supraoder Überauftraggeber“ des Unterauftragnehmers. 509 Kremer, ITRB 2014, 60 (66). 510 Siehe C. II. 5. c). 511 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 43; Eckhardt, DuD 2013, 585; Eckhardt / Kramer, DuD 2014, 147; Nielen / Thum, K&R 2006, 171.
II. Datenschutzrechtliche Rechtmäßigkeit175
Dann liegt eine Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG bei der Weitergabe von personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR nicht vor, da der Auftragsdatenverarbeiter / Cloud-Anbieter Nicht-Dritter i. S. v. § 3 Abs. 8 Satz 3 BDSG ist.512 Während nach allgemeiner Ansicht513 die Privilegierungswirkung der Auftragsdatenverarbeitung bedeutet, dass keine Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG vorliegt, gehen die Meinungen darüber auseinander, ob bei der Auslagerung der Daten im Rahmen einer Auftragsdatenverarbeitung eine Nutzung i. S. v. § 3 Abs. 5 BDSG vorliegt. aa) Nicht-Vorliegen einer Nutzung i. S. v. § 3 Abs. 5 BDSG bei der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung Einige Autoren514 sind der Ansicht, dass der Datentransfer im Rahmen einer Auftragsdatenverarbeitung eine bloße Weitergabe und keine Nutzung i. S. v. § 3 Abs. 5 BDSG sei. Werden personenbezogene Daten im Rahmen einer Auftragsdatenverarbeitung an einen Cloud-Anbieter transferiert, blieben die Daten im Verantwortungsbereich des Unternehmens als verantwortliche Stelle. Weil sich der Auftragsdatenverarbeiter unter die Zwecksetzung des Auftraggebers unterordne, fehle es bei der Weitergabe am zweckbestimmten Gebrauch der Daten. Es läge damit gerade keine Nutzung i. S. v. 512 Bergt, DuD 2013, 796; Eckhardt, DuD 2013, 585; Rath / Rothe, K&R 2013, 623 (624 f.); Selzer, DuD 2014, 470 f.; Weber / Voigt, ZD 2011, 74. 513 Anstelle vieler Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 11 Rn. 7; Gola / Schomerus, BDSG, § 11 Rn. 4; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 2; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 43; Bergt, DuD 2013, 796; Bongers / Krupna, RDV 2014, 19; Eckhardt / Kramer, DuD 2013, 287 (291); Koós / Englisch, ZD 2014, 276 (277); Kremer / Sander, ITRB 2014, 187 f.; Schrotz / Zdanowiecki, CR 2015, 485 (488). 514 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 2, aber inkonsequent, da Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 54 schreibt, dass das Hin- und Rücksenden von personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung Nutzungen seien; Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 6 ff., allerdings inkonsequent, da Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 92 schreibt, dass jede Datenweitergabe zur Auftragsdatenverarbeitung eine Nutzung sei; Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat?, S. 29 f.; Bongers / Krupna, RDV 2014, 19; Eckhardt / Kramer, DuD 2013, 287 (291) und Eckhardt / Kramer / Mester, DuD 2013, 623 (626), die ausführen, dass die Vereinbarung einer Auftragsdatenverarbeitung die Einwilligung und den gesetzlichen Tatbestand „ersetze“; Funke / Wittmann, ZD 2013, 221 (223); Härting, ITRB 2016, 137 (138); Koós / Englisch, ZD 2014, 276 ff.; Schrotz / Zdanowiecki, CR 2015, 485 (488); Selzer, DuD 2013, 215; Thalhofer, CCZ 2011, 222 (223); Weber / Voigt, ZD 2011, 74.
176
C. Auslagerung von Kunden- und Personaldaten in die Cloud
§ 3 Abs. 5 BDSG vor. Für die bloße Weitergabe der Daten an den CloudAnbieter sei somit kein Erlaubnistatbestand erforderlich. bb) Vorliegen einer Nutzung i. S. v. § 3 Abs. 5 BDSG bei der Auslagerung von Daten im Rahmen einer Auftragsdatenverarbeitung Einer anderen Ansicht515 nach sei eine Weitergabe der Kunden- bzw. Personaldaten vom auslagernden Unternehmen an den Cloud-Anbieter im Rahmen einer Auftragsdatenverarbeitung eine Nutzung durch das Unternehmen i. S. v. § 3 Abs. 5 BDSG. Die Auslagerung der personenbezogenen Daten des Unternehmens an den Cloud-Anbieter entspreche rechtlich gesehen der internen Weitergabe innerhalb des Unternehmens. Die Weitergabe von personenbezogenen Daten innerhalb eines Unternehmens sei eine Nutzung i. S. v. § 3 Abs. 5 BDSG. Für die datenschutzrechtliche Zulässigkeit der Weitergabe müsse wegen des Prinzips des Verbots mit Erlaubnisvorbehalt ein Erlaubnistatbestand gegeben sein.516 Dasselbe gelte auch für die Weitergabe von Kunden- und Personaldaten eines Unternehmens an einen CloudAnbieter im Rahmen einer Auftragsdatenverarbeitung. cc) Bewertung Für die erstgenannte Ansicht spricht, dass die Anforderungen, die § 11 BDSG an eine Auftragsdatenverarbeitung stellt, dazu führen, dass im Rahmen der Datenweitergabe an den Auftragnehmer ein hohes Maß an Datenschutz gegeben ist. Es ist nicht nötig, dass darüber hinaus weitere Anforde515 Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 64; Gola / Schomerus, BDSG, § 3 Rn. 42a sehen zwar die Weitergabe von Daten im Rahmen einer Auftragsdatenverarbeitung als Nutzung an, die aber unter den Zulässigkeitskriterien des § 11 BDSG steht; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 54, aber inkonsequent, da Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 2 schreibt, dass die Übertragung von Daten im Rahmen einer Auftragsdatenverarbeitung ohne gesetzliche Erlaubnis zulässig ist; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 195; Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 43; Schild, in: Wolff / Brink (Hrsg.), BDSG, § 3 Rn. 92, allerdings inkonsequent, da Spoerr, in: Wolff / Brink (Hrsg.), BDSG, § 11 Rn. 6 ff. schreibt, dass im Rahmen einer Auftragsdatenverarbeitung kein Erlaubnistatbestand vorliegen muss; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 264; Bergt, DuD 2013, 796; Gaul / Koehler, BB 2011, 2229 (2231); Kremer, ITRB 2014, 60 (61); Kremer / Sander, ITRB 2014, 187 (188); Nielen / Thum, K&R 2006, 171. 516 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 3 Rn. 45; Eßer, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 3 Rn. 64; Plath / Schreiber, in: Plath (Hrsg.), BDSG, § 3 Rn. 54 f.; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 158; Kremer / Sander, ITRB 2014, 187 (188).
II. Datenschutzrechtliche Rechtmäßigkeit177
rungen, etwa eine Einwilligung oder ein anderer Erlaubnistatbestand, vorausgesetzt werden. Dem Vergleich der Weitergabe der Daten im Rahmen einer Auftragsdatenverarbeitung mit einer internen Weitergabe von Daten ist aber zuzustimmen. § 3 Abs. 8 Satz 3 BDSG besagt, dass ein Auftragsdatenverarbeiter kein Dritter ist. Vielmehr wird fingiert, dass der Auftragsdatenverarbeiter ein Teil der verantwortlichen Stelle ist. Der Auftragsdatenverarbeiter ist somit mit einer internen Stelle des auslagernden Unternehmens zu vergleichen. Eine interne Weitergabe von Daten innerhalb eines Unternehmens ist nach h. M. aber eine rechtfertigungsbedürftige Nutzung i. S. v. § 3 Abs. 5 BDSG. Daher ist auch eine Weitergabe der Daten an einen Auftragsdatenverarbeiter eine Nutzung. Es muss für diese Nutzung – wie für eine interne Weitergabe der Daten innerhalb des Unternehmens – eine Einwilligung oder ein anderer Erlaubnistatbestand vorliegen. Hierfür spricht auch, dass mit dem Erfordernis einer Einwilligung oder eines anderen Erlaubnistatbestandes das Selbstbestimmungsrecht des Betroffenen vor einer – trotz Vorliegen aller Voraussetzungen des § 11 BDSG – ungerechtfertigten Auslagerung geschützt werden soll. g) Erlaubnistatbestand für die Nutzung der personenbezogenen Daten Wie bereits angesprochen ist bei einer Auftragsdatenverarbeitung allein das auslagernde Unternehmen die verantwortliche Stelle, während der Cloud-Anbieter nur „verlängerter Arm“ des Unternehmens ist. Der Datentransfer im Rahmen der Auftragsdatenverarbeitung ist zwar keine Übermittlung i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG, aber eine Nutzung i. S. v. § 3 Abs. 5 BDSG der personenbezogenen Daten durch das auslagernde Unternehmen. Der Datentransfer ist mit der Weitergabe der Daten innerhalb des Unternehmens vergleichbar. Als Nutzung ist zusätzlich zu den Anforderungen des § 11 BDSG noch ein Rechtfertigungsgrund erforderlich. Die Einwilligung durch die Kunden bzw. Arbeitnehmer in eine interne Weitergabe ist eine Rechtfertigungsmöglichkeit. Allerdings ist die Einwilligung nicht immer ein praktikabler Weg.517 Die interne Weitergabe der Daten wird sowieso meist durch gesetzliche Erlaubnistatbestände gestattet. § 28 Abs. 1 Satz 1 Nr. 1 BDSG gestattet die interne Weitergabe von Kundendaten. § 32 Abs. 1 Satz 1 BDSG erlaubt eine interne Weitergabe von Personaldaten. Sensible Daten, wie sie im Rahmen von Arbeitsverhältnissen anfallen, können datenschutzkonform gem. § 28 Abs. 6 Nr. 3 BDSG weitergegeben werden. 517 Siehe
dazu C. II. 3. h).
178
C. Auslagerung von Kunden- und Personaldaten in die Cloud
h) Auftragsdatenverarbeitung gem. DS-GVO Der größte Unterschied zwischen dem BDSG und der DS-GVO besteht in Bezug auf die Auftragsdatenverarbeitung darin, dass die Auftragsdatenverarbeitung nicht mehr – wie bisher – in einer Norm (§ 11 BDSG) geregelt ist, sondern ausführlicher in mehreren Normen (u. a. Art. 28 f. DS-GVO).518 Außerdem heißt die Auftragsdatenverarbeitung in der DS-GVO „Auftragsverarbeitung“.519 Während § 11 Abs. 2 Satz 2 BDSG die Schriftform nach § 126 BGB für die Erteilung des Auftrags an den Auftragsdatenverarbeiter vorsieht,520 entfällt dieses Erfordernis nach der DS-GVO.521 Gegenüber § 11 BDSG ist die Verantwortung des Auftragsdatenverarbeiters in der DS-GVO größer.522 Wenn der Auftragsdatenverarbeiter seine Pflichten nicht erfüllt, wird er gem. Art. 28 Abs. 10 DS-GVO selbst zum Verantwortlichen.523 Durch Art. 35 DS-GVO wird eine Pflicht zur Datenschutz-Folgenabschätzung bei riskanten Verarbeitungsvorgängen eingeführt. Diese Folgenabschätzung ist allerdings nur in den engen Grenzen von Art. 35 Abs. 3 DSGVO durchzuführen. Es gibt mit § 4d Abs. 5 BDSG eine vergleichbare Norm im BDSG.524 Die Datenschutz-Folgeabschätzung ist also kein gänzlich unbekanntes Instrument im deutschen Datenschutzrecht. Wie bereits oben525 ausgeführt ist in § 3 Abs. 8 Satz 3 BDSG die Privilegierungswirkung der Auftragsdatenverarbeitung zu finden. Die DS-GVO enthält zwar keine ausdrückliche Regelung zur Privilegierungswirkung der Auftragsdatenverarbeitung.526 EU-Kommission, EU-Parlament und der Rat der EU haben in dieser Hinsicht aber gegenüber der DS-RL keine Änderung beabsichtigt.527 Die Auftragsdatenverarbeitung gemäß der DS-GVO unter518 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 103; Härting, ITRB 2016, 137; Koós / Englisch, ZD 2014, 276 (278); Roßnagel / Kroschwald, ZD 2014, 495 (497 f.). 519 Härting, ITRB 2016, 137. 520 Art. 17 Abs. 4 DS-RL sieht dagegen nur vor, dass der Auftrag schriftlich oder in anderer Form zu dokumentieren ist. 521 Petri, ZD 2015, 305 (308). 522 Härting, DS-GVO, S. 139 Rn. 580; Albrecht, CR 2016, 88 (94); Eckhardt, CR 2012, 195 (199); Härting, ITRB 2016, 137 (139 f.); Kraska, ZD-Aktuell 2016, 04173. 523 Eckhardt / Kramer, DuD 2013, 287 (292). 524 Gierschmann, ZD 2016, 51 (53); Schüßler / Zöll, DuD 2013, 639 (642). 525 Siehe dazu C. II. 5. f). 526 Eckhardt / Kramer, DuD 2013, 287 (291); Eckhardt / Kramer / Mester, DuD 2013, 623 (626); Gola / Schulz, RDV 2013, 1 (6). 527 Für die Auswirkungen der DS-GVO auf grenzüberschreitende Übermittlungen siehe auch C. II. 6. d).
II. Datenschutzrechtliche Rechtmäßigkeit179
scheidet sich daher nicht grundlegend von der Auftragsdatenverarbeitung gem. § 11 BDSG und Art. 17 DS-RL.528 6. Datenübermittlung und Auftragsdatenverarbeitung im internationalen Kontext Bei Datenübermittlungen im internationalen Kontext müssen außer dem Prinzip des Verbots mit Erlaubnisvorbehalt die §§ 4b und 4c BDSG beachtet werden. §§ 4b und 4c BDSG sind keine Rechtsgrundlagen, sondern die Normierung eines Prüfungsmaßstabs.529 Zweck von § 4b BDSG ist es, den Betroffenen / den Kunden bzw. Arbeitnehmer des Unternehmens vor Übermittlungen ins Ausland zu bewahren, wenn dort kein angemessenes Datenschutzniveau herrscht.530 a) Datenübermittlung und Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR aa) Datenübermittlung innerhalb der EU bzw. des EWR Für die Übermittlung personenbezogener Daten an Stellen in anderen Mitgliedstaaten der EU, in anderen Vertragsstaaten des EWR oder für Übermittlungen der Organe und Einrichtungen der Europäischen Gemeinschaften gelten gem. § 4b Abs. 1 BDSG für öffentliche Stellen § 15 Abs. 1 BDSG und § 16 Abs. 1 BDSG und für nicht-öffentliche Stellen §§ 28 bis 30a BDSG nach Maßgabe der für diese Übermittlung geltenden Gesetze und Vereinbarungen, soweit die Übermittlung im Rahmen von Tätigkeiten erfolgt, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen. Das Fehlen einer Erwähnung von § 32 BDSG dürfte ein Redaktionsversehen sein.531 Auch wenn § 4b Abs. 1 BDSG die Einwilligung nicht explizit nennt, ist eine Übermittlung im Rahmen von § 4b Abs. 1 BDSG rechtskonform, wenn in die Übermittlung nach § 4a BDSG eingewilligt wurde.532 Für Datenübermittlungen an Stellen innerhalb 528 Petri, in: Simitis (Hrsg.), BDSG, § 11 Rn. 103; Petri, ZD 2015, 305 (309); Roßnagel / Kroschwald, ZD 2014, 495 (497 f.). 529 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 2a; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rn. 4. 530 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rn. 1; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 1. 531 Gola / Schomerus, BDSG, § 4b Rn. 3; Seifert, in: Simitis (Hrsg.), BDSG, § 32 Rn. 120. 532 Gola / Schomerus, BDSG, § 4b Rn. 3; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rn. 13.
180
C. Auslagerung von Kunden- und Personaldaten in die Cloud
der EU bzw. des EWR gelten dieselben Vorgaben wie für Datenübermittlungen an Stellen innerhalb der Bundesrepublik Deutschland.533 Diese Gleichstellung erfolgt auf der Basis der harmonisierenden Wirkung der DS-RL, deren Ziel gem. Erwägungsgrund 3 DS-RL die Schaffung und Erhaltung eines gemeinsamen europäischen Binnenmarktes ist. Eine Übermittlung von Kunden- bzw. Personaldaten an einen Cloud-Anbieter mit Sitz innerhalb der EU bzw. des EWR ist genauso wie die Übermittlung der Daten an einen Cloud-Anbieter mit Sitz in Deutschland datenschutzkonform möglich. bb) Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR § 4b BDSG findet dagegen keine Anwendung, wenn die verantwortliche Stelle die personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung an einen Cloud-Anbieter mit Sitz in der EU bzw. dem EWR auslagert. § 4b BDSG bezieht sich nur auf Übermittlungen i. S. v. § 3 Abs. 4 Satz 2 Nr. 3 BDSG. Gem. § 3 Abs. 8 Satz 3 BDSG sind Auftragsdatenverarbeiter aus dem Inland und aus der EU bzw. dem EWR aber keine Dritte. Aufgrund der Privilegierungswirkung534 der Auftragsdatenverarbeitung findet deshalb bei einer Auftragsdatenverarbeitung mit einem Auftragnehmer mit Sitz in der EU oder dem EWR keine Übermittlung, sondern nur eine Nutzung statt. Für die Auslagerung der Daten auf einen Cloud-Anbieter mit Sitz in der EU bzw. dem EWR im Rahmen einer Auftragsdatenverarbeitung gilt deshalb § 4b BDSG nicht.535 Vielmehr gelten für die Auslagerung im Rahmen einer Auftragsdatenverarbeitung wegen der Gleichstellung von Auftragsdatenverarbeitern innerhalb Deutschlands und innerhalb der EU bzw. des EWR nach § 3 Abs. 8 Satz 3 BDSG dieselben Anforderungen: die Voraussetzungen des § 11 BDSG müssen eingehalten werden und die Auslagerung muss im Rahmen einer Nutzung durch das auslagernde Unternehmen gerechtfertigt sein. b) Datenübermittlung und Auftragsvergabe in einen Drittstaat aa) Datenübermittlung in einen Drittstaat Für Datenübermittlungen an Stellen außerhalb der EU bzw. des EWR, in sog. „Drittstaaten“, gilt gem. § 4b Abs. 2 Satz 1 BDSG die Norm des § 4b 533 Thomale,
in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4b Rn. 6. dazu C. II. 5. f). 535 Gabel, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 8; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rn. 12; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 13. 534 Siehe
II. Datenschutzrechtliche Rechtmäßigkeit181
Abs. 1 BDSG entsprechend. Es muss zunächst eine gesetzliche Erlaubnisnorm einschlägig sein, die die Datenübermittlung gestattet. Zusätzlich muss aber gem. § 4b Abs. 2 Satz 2 BDSG beachtet werden, dass die Datenübermittlung in einen Drittstaat erfolgt. Daraus ergibt sich eine zweistufige Prüfung536 für Datenübermittlungen in Drittstaaten. Diese zweistufige Prüfung sieht auch der Düsseldorfer Kreis – ein Gremium der Konferenz der Datenschutzbeauftragten des Bundes und der Länder für den nicht-öffentlichen Bereich – vor.537 Auf der ersten Stufe muss die Zulässigkeit der Datenübermittlung nach den nationalen Datenschutzschriften, also für nichtöffentliche Stellen nach § 4a BDSG, §§ 28 bis 30a BDSG und § 32 BDSG, geprüft werden.538 Auf der zweiten Stufe muss geprüft werden, ob die besonderen Anforderungen für Datentransfers in Drittstaaten, die in §§ 4b und 4c BDSG geregelt sind, eingehalten werden.539 bb) Auftragsvergabe in einen Drittstaat Möchte das Unternehmen die Daten im Rahmen einer Auftragsdatenverarbeitung an einen Cloud-Anbieter mit Sitz in einem Drittstaat auslagern, ist zunächst zu untersuchen, ob auch eine Auftragsdatenverarbeitung mit Auftragnehmern in Drittstaaten gem. § 3 Abs. 8 Satz 3 BDSG privilegiert ist. (1) Bestimmen der Grenzüberschreitung Ob eine Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR oder eine Auftragsvergabe in einen Drittstaat vorliegt, bestimmt sich nach der Grenzüberschreitung der Auftragsdatenverarbeitung. Es ist zu fragen, ob für die Grenzüberschreitung auf den physischen Standort der Datenverarbeitung oder auf den Sitz des Cloud-Anbieters abzustellen ist. Die überwiegende Meinung540 stellt für die Frage der Grenzüberschreitung auf den physischen 536 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rn. 4; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 9; Bierekoven, ITRB 2009, 39 f.; Weber / Voigt, ZD 2011, 74 (75); Wybitul / Patzak, RDV 2011, 11 (12). 537 Düsseldorfer Kreis, Beschluss vom 11. / 12.09.2013. 538 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 2a; Gola / Schomerus, BDSG, § 4b Rn. 6. 539 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 2a; Gola / Schomerus, BDSG, § 4b Rn. 6; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 9. 540 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 52; Dammann, in: Simitis (Hrsg.), BDSG, § 3 Rn. 246; Taeger, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 25; DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 14; Eckhardt, DuD 2015, 176 (180).
182
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Standort der Datenverarbeitung ab. Es gibt aber auch Stimmen541, die auf den Sitz des Cloud-Anbieters abstellen. Eine Grenzüberschreitung der Auftragsvergabe in einen Drittstaat liegt nicht vor, wenn für die Verarbeitungen, die der Cloud-Anbieter intern durchführt, das Datenschutzrecht eines Mitgliedstaats der EU bzw. eines Vertragsstaats des EWR gilt. Hat ein Cloud-Anbieter aus einem Drittstaat eine Niederlassung im EU- bzw. EWR-Inland, so ist auf ihn aufgrund des Sitzlandprinzips das Datenschutzrecht eines Mitgliedstaats der EU bzw. eines Vertragsstaats des EWR anwendbar. Aber auch wenn der außereuropäische Cloud-Anbieter, der keine Niederlassung im EU- bzw. EWR-Inland hat, Datenverarbeitungen durch Server durchführen lässt, die in der EU bzw. dem EWR stehen, ist nach dem Territorialprinzip auf diese Datenverarbeitungen das Datenschutzrecht eines Mitgliedstaats der EU bzw. eines Vertragsstaats des EWR anzuwenden. Eine Auftragsvergabe in einen Drittstaat liegt demnach nur dann vor, wenn ein außereuropäischer Cloud-Anbieter keine Niederlassung in der EU bzw. dem EWR hat und dort auch keine Datenverarbeitungen auf seinen Servern durchführen lässt. (2) P rivilegierungswirkung bei Auftragsdatenverarbeitern aus Drittstaaten § 3 Abs. 8 Satz 3 BDSG stellt klar, dass ein Auftragsdatenverarbeiter innerhalb der EU bzw. des EWR kein Dritter i. S. v. § 3 Abs. 8 Satz 2 BDSG ist. Auftragsdatenverarbeiter innerhalb der EU bzw. des EWR werden privilegiert. Sollen personenbezogene Daten an einen Auftragsdatenverarbeiter innerhalb der EU bzw. des EWR transferiert werden, müssen nicht die strengen datenschutzrechtlichen Anforderungen an eine Übermittlung vorliegen. Es genügt, wenn die Anforderungen an eine Auftragsdatenverarbeitung eingehalten werden und die Auslagerung der Daten als Nutzung542 gerechtfertigt wird. § 3 Abs. 8 Satz 3 BDSG erstreckt die Privilegierungswirkung jedenfalls nicht explizit auf Auftragsdatenverarbeiter, die ihren Sitz außerhalb der EU bzw. des EWR haben. § 3 Abs. 8 Satz 3 BDSG erwähnt den Auftragsdatenverarbeiter im Drittstaat nicht.543 Angesichts der Folgen, die sich daraus ergeben, dass innerhalb der EU bzw. des EWR ein Auftragsdatenverarbeiter nicht als Dritter gilt und somit keine Übermittlung stattfindet, sondern nur die Voraussetzungen des § 11 BDSG und die Anforderungen an eine Nut541 Borges / Brennscheidt, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, S. 63 f. m. w. N. 542 Siehe dazu C. II. 5. f). 543 Rittweger / Schmidl, DuD 2004, 617 (618).
II. Datenschutzrechtliche Rechtmäßigkeit183
zung innerhalb des auslagernden Unternehmens eingehalten werden müssten, außerhalb der EU bzw. des EWR ein Auftragsdatenverarbeiter aber als Dritter gelten würde und eine zweistufige Prüfung stattfinden müsste, stellt sich die Frage, ob auch eine Auftragsdatenverarbeitung in Drittstaaten privilegiert wird. Eine Privilegierung von Auftragsdatenverarbeitern aus Drittstaaten hätte große praktische Relevanz, da die größten Cloud-Anbieter ihren Standort in den USA haben. (a) Fehlende Privilegierungswirkung des § 3 Abs. 8 Satz 3 BDSG für Auftragsdatenverarbeiter aus Drittstaaten Einer Ansicht544 nach gilt die Privilegierung der Auftragsdatenverarbeitung in § 3 Abs. 8 Satz 3 BDSG auch für Auftragnehmer in Drittstaaten. Eine Auslagerung an einen Cloud-Anbieter aus einem Drittstaat im Rahmen einer Auftragsdatenverarbeitung ist demnach genauso zu behandeln wie eine Auftragsdatenverarbeitung mit einem Cloud-Anbieter in Deutschland oder in EU- und EWR-Staaten. Nach dieser Ansicht ist aus dem Wortlaut von § 3 Abs. 8 Satz 3 BDSG nicht zwingend ein Umkehrschluss zu ziehen. Bei § 3 Abs. 8 Satz 3 BDSG könne es sich auch nur um eine Relativierung oder Klarstellung von § 3 Abs. 8 Satz 2 BDSG handeln. Hätte der Gesetzgeber Auftragsdatenverarbeiter aus Drittstaaten nicht privilegieren wollen, hätte er klarstellen können, dass Auftragsdatenverarbeiter aus Drittstaaten Dritte i. S. d. BDSG seien. Die überwiegende Meinung545 nimmt dagegen an, dass die Privilegierungswirkung den Auftragsdatenverarbeitern aus Drittstaaten nicht zugute kommt. Für einen Transfer personenbezogener Daten an einen Auftragsdatenverarbeiter außerhalb der EU bzw. des EWR muss nach dieser Ansicht zunächst ein gesetzlicher Erlaubnistatbestand für die Übermittlung der Daten vorliegen, der gem. § 4 Abs. 1 BDSG für eine datenschutzkonforme Übermittlung nötig ist. Außerdem finden die besonderen Vorschriften der §§ 4b, 4c BDSG über eine Übermittlung personenbezogener Daten ins Ausland Anwendung. In einem derartigen Fall ist also eine zweistufige Prüfung durchzuführen. Diese Auffassung stützt sich auf den Wortlaut von § 3 Abs. 8 Satz 3 BDSG. Nach § 3 Abs. 8 Satz 3 BDSG sind Personen und Stellen, die innerhalb der EU bzw. des EWR personenbezogene Daten im Auftrag ver544 Giesen,
CR 2007, 543 (545). in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Comput ing, S. 423 f. Rn. 43; Eckhardt, CR 2012, 195 (202); Erd, DuD 2011, 275 (276); Funke / Wittmann, ZD 2013, 221 (223); Gaul / Koehler, BB 2011, 2229 (2233); Heidrich / Wegener, MMR 2010, 803 (806); Hornung / Sädtler, DuD 2013, 148 (151); Niemann / Hennrich, CR 2010, 686 (687); Niemann / Paul, K&R 2009, 444 (449); Thalhofer, CCZ 2011, 222 (223); Weichert, DuD 2010, 679 (682). 545 Schultze-Melling,
184
C. Auslagerung von Kunden- und Personaldaten in die Cloud
arbeiten, nicht Dritte. Die Vertreter dieser Meinung ziehen aus dem Wortlaut des § 3 Abs. 8 Satz 3 BDSG einen Umkehrschluss.546 Die letztgenannte Auffassung ist zutreffend. Angesichts des Wortlauts des § 3 Abs. 8 Satz 3 BDSG ist keine Privilegierung des Auftragsdatenverarbeiters aus einem Drittstaat möglich. Da der Wortlaut eindeutig ist, ist auch keine Auslegung der Norm möglich. (b) Privilegierung des Auftragsdatenverarbeiters aus einem Drittstaat bei der Verwendung von EU-Standardvertragsklauseln Trotz des Wortlauts des § 3 Abs. 8 Satz 3 BDSG wurde versucht, bei der Nutzung von EU-Standardvertragsklauseln547 zwischen Auftraggeber und Auftragnehmer auf der zweiten Prüfungsstufe eine Privilegierung der Auftragsdatenverarbeitung zu begründen.548 In Art. 2 lit. e) und f) der DS-RL, die durch § 3 Abs. 8 BDSG ins deutsche Recht umgesetzt wurden, findet sich keine Beschränkung der Privilegierung auf Auftragnehmer nur innerhalb der EU bzw. des EWR.549 Auch das Bestehen der EU-Standardvertragsklauseln zeigt, dass eine Auftragsdatenverarbeitung ebenso mit Unternehmen in Drittstaaten möglich sein muss. Ansonsten hätte es dieses Instrumentariums nicht bedurft.550 In den nationalen Datenschutzgesetzen von anderen Mitgliedstaaten der EU existiert eine derartige Beschränkung auch nicht.551 Die EU-Standardvertragsklauseln basieren auf einer Kommissionsentscheidung. Über das Rechtsprinzip des „effet utile“ soll dem europäischen Recht und damit auch dem Willen der EU-Kommission bestmögliche Geltung verschafft werden. Das Prinzip des „effet utile“ wirkt ins nationale Recht hinein und muss durch Auslegung der nationalen Rechtsordnung Geltung verschafft werden. Der Willen der EU-Kommission, dass es eine Auftragsdatenverarbeitung auch mit Auftragnehmern aus Drittstaaten geben soll, muss somit auch bei der Auslegung des nationalen Rechts beachtet werden.552 546 Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 51; Funke / Wittmann, ZD 2013, 221 (227); Scholz / Lutz, CR 2011, 424 (425); Weber / Voigt, ZD 2011, 74 (75). 547 Siehe dazu C. II. 6. b) dd) (4) (b). 548 Kahler, RDV 2012, 167 (168); Nielen / Thum, K&R 2006, 171 (174); Räther, DuD 2005, 461 (465); Weber / Voigt, ZD 2011, 74 (76 ff.). 549 Niemann / Hennrich, CR 2010, 686 (687). 550 Weber / Voigt, ZD 2011, 74 (75). 551 Niemann / Hennrich, CR 2010, 686 (687). 552 Nielen / Thum, K&R 2006, 171 (172).
II. Datenschutzrechtliche Rechtmäßigkeit185
Es spricht also vieles für eine Privilegierung von Auftragsdatenverarbeitern auch aus Drittstaaten bei der Verwendung von den EU-Standardvertragsklauseln auf der zweiten Stufe. Die Privilegierung wurde entweder auf eine Analogie553 zu § 3 Abs. 8 BDSG oder auf eine modifizierte Interessenabwägung554 im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG gestützt. (aa) Analogie zu § 3 Abs. 8 BDSG Eine Ansicht555 begründet die Privilegierung von Auftragnehmern in Drittstaaten bei der Verwendung von EU-Standardvertragsklauseln durch eine Analogie zu § 3 Abs. 8 BDSG. Danach soll der an die EU-Standardvertragsklauseln gebundene Auftragnehmer nicht als Dritter i. S. v. § 3 Abs. 8 BDSG anzusehen sein. Für die Verwendung einer Analogie sind eine planwidrige Regelungslücke und eine vergleichbare Interessenslage notwendig. Die planwidrige Regelungslücke besteht darin, dass die EU-Standardvertragsklauseln nur unzureichend in das deutsche Recht implementiert wurden. Auch ist in Art. 2 lit. e) und f) der DS-RL keine Beschränkung der Privilegierung auf Auftragnehmer nur innerhalb der EU bzw. des EWR zu finden.556 Eine vergleichbare Interessenslage ist ebenso gegeben: Die Verwendung von EU-Standardvertragsklauseln ist mit der Situation der Auftragsdatenverarbeitung nach §§ 3 Abs. 8, 11 BDSG vergleichbar. Die Auftragnehmer werden durch die Verwendung der EU-Standardvertragsklauseln verpflichtet, Maßnahmen für den Schutz der personenbezogenen Daten zu ergreifen. Der Auftraggeber sollte mit dem Auftragnehmer aus dem Drittland auch zusätzlich einen Vertrag abzuschließen, der den Anforderungen aus § 11 Abs. 2 BDSG gerecht wird. Damit kann ausgeschlossen werden, dass die Auftragsdatenverarbeitung im Drittstaat geringeren Anforderungen unterliegt als eine Auftragsdatenverarbeitung in der EU bzw. dem EWR. Auch eine außereuropäische Auslagerung von sensitiven Daten ist nach dieser Ansicht problemlos möglich, da es bei einer Auftragsdatenverarbeitung keine eigenständigen Regelungen für sensitive Daten gibt.557
553 Nielen / Thum, K&R 2006, 171 (174); Räther, DuD 2005, 461 ber / Voigt, ZD 2011, 74 (77 f.). 554 Kahler, RDV 2012, 167 (168); Weber / Voigt, ZD 2011, 74 (76). 555 Nielen / Thum, K&R 2006, 171 (174); Räther, DuD 2005, 461 ber / Voigt, ZD 2011, 74 (77 f.). 556 Nielen / Thum, K&R 2006, 171 (174); Räther, DuD 2005, 461 ber / Voigt, ZD 2011, 74 (77 f.). 557 Nielen / Thum, K&R 2006, 171 (174); Räther, DuD 2005, 461 ber / Voigt, ZD 2011, 74 (77 f.).
(465); We(465); We(465); We(465); We-
186
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(bb) Modifizierte Interessenabwägung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG Einer anderen Ansicht558 nach eröffnet die Verwendung der EU-Standardvertragsklauseln eine modifizierte Interessenabwägung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Bei der Verwendung von EU-Standardvertragsklauseln bei einer Auftragsdatenverarbeitung mit einem Auftragnehmer aus Drittstaaten könnte dies positiven Einfluss auf den Begriff der „Erforderlichkeit“ und die Interessenabwägung auf der ersten Prüfungsstufe der Rechtmäßigkeit der Auslagerung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG nehmen.559 Somit ist eine „faktische Datenverarbeitung“ auch mit Unternehmen aus Drittstaaten möglich.560 Die Aufsichtsbehörden tendieren zu dieser Ansicht.561 Diese Ansicht gelangt dann an ihre Grenzen, wenn besondere Arten personenbezogener Daten übertragen werden sollen. Auf der ersten Prüfungsstufe ist hier nämlich nicht § 28 Abs. 1 BDSG einschlägig. Bei besonderen Arten personenbezogener Daten werden als Erlaubnistatbestände die Absätze 6 bis 9 des § 28 BDSG als leges speciales herangezogen, die eine strengere Interessenabwägung als § 28 Abs. 1 Satz 1 Nr. 2 BDSG vorsehen. Somit besteht nicht die Möglichkeit, die Interessenabwägung in § 28 Abs. 6 bis 9 BDSG bei der Verwendung von EU-Standardvertragsklauseln zu modifizieren. Klausel 4 lit. f) der EU-Standardvertragsklauseln für Auftragsdatenverarbeiter sieht vor, dass auch besondere Arten personenbezogener Daten an Drittstaaten übertragen werden können. Man könnte bei sensitiven Daten statt der § 28 Abs. 6 bis 9 BDSG auch bei besonderen Arten personenbezogener Daten § 28 Abs. 1 Satz 1 Nr. 2 BDSG heranziehen und die Interessenabwägung modifizieren.562 Anders sieht das die Orientierungshilfe Cloud Computing, die verlangt, dass bei der Übertragung besonderer Arten personenbezogener Daten eine Einwilligung der Betroffenen vorliegen müsse.563 Dem ist zuzustimmen, da das erhöhte Schutzbedürfnis der Betroffenen bei der Verarbeitung sensitiver Daten nur auf diese Weise beachtet wird.
558 Kahler,
RDV 2012, 167 (168); Weber / Voigt, ZD 2011, 74 (76). RDV 2012, 167 (168); Weber / Voigt, ZD 2011, 74 (76). 560 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1236 Rn. 84; Weber / Voigt, ZD 2011, 74 (76). 561 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 11 Rn. 26; Hartung / Storm, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 417 Rn. 251; DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 16 f. 562 Rittweger / Schmidl, DuD 2004, 617 (620). 563 DSK, Orientierungshilfe Cloud Computing – Version 2.0, S. 16 f. 559 Kahler,
II. Datenschutzrechtliche Rechtmäßigkeit187
(c) Vollharmonisierende Wirkung der DS-RL: Möglichkeit der unmittelbaren Anwendung In der bereits oben564 genannten Entscheidung565 vom 24. November 2011 hat der EuGH angeführt, dass die DS-RL eine vollharmonisierende Wirkung hat, indem er ausführt, dass „die Harmonisierung [der] nationalen Rechtsvorschriften nicht auf eine Mindestharmonisierung beschränkt ist, sondern zu einer grundsätzlich umfassenden Harmonisierung führt.“566 Aus der Vollharmonisierung durch die DS-RL folge, dass die nationalen Gesetzgeber keine Regelungen erlassen können, die neue Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung personenbezogener Daten neben Art. 7 DS-RL einführen und keine zusätzlichen Bedingungen stellen, die die Tragweite der Erlaubnistatbestände in Art. 7 DS-RL verändern würden.567 Dies folge aus den Zielen der DS-RL, ein gleichwertiges Schutzniveau in allen Mitgliedstaaten der EU sicherzustellen, aber dennoch den freien Verkehr personenbezogener Daten zu gewährleisten.568 Zwar erzielt eine Richtlinie – im Gegensatz zu einer Verordnung – in den einzelnen Mitgliedstaaten der EU keine unmittelbare Rechtswirkung. Die Richtlinie muss, um Geltung zu erhalten, gem. Art. 288 Abs. 3 AEUV zunächst vom nationalen Gesetzgeber in nationales Recht umgesetzt werden. Allerdings hat der EuGH die Rechtsfigur der unmittelbaren Anwendung („effet utile“) entwickelt. Damit soll verhindert werden, dass sich ein nationaler Gesetzgeber durch Verschleppung der Umsetzung der Wirkung der Richtlinie entziehen kann.569 Die Regelungen einer Richtlinie können daher dann eine unmittelbare Wirkung entfalten, wenn sie inhaltlich unbedingt und hinreichend genau sind und sich ein Einzelner vor den nationalen Gerichten auf diese Bestimmungen der Richtlinie berufen könnte.570 Steht also eine nationale Regelung den Grundsätzen aus Art. 7 der DS-RL entgegen, dann entfaltet nach dem EuGH Art. 7 DS-RL eine unmittelbare Wirkung in dem jeweiligen nationalen Staat, der eine entgegenstehende Regelung getroffen hat, wenn die Be stimmung der DS-RL inhaltlich unbedingt und hinreichend genau ist. Der 564 Siehe
dazu C. II. 4. Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22. 566 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22 ff. Rn. 29. 567 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22 ff. Rn. 32. 568 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22 ff. Rn. 29 ff. 569 Kahler, RDV 2012, 167 (169). 570 EuGH, Urteil vom 03.03.2011, C-203 / 10 – Auto Nikolovi, BeckRS 2011, 80180 Rn. 61; Kahler, RDV 2012, 167 (169). 565 EuGH,
188
C. Auslagerung von Kunden- und Personaldaten in die Cloud
uGH stellte anschließend die unmittelbare Anwendbarkeit von Art. 7 lit. f) E DS-RL fest.571 Die Entscheidung572 des EuGH vom 24. November 2011 kann für eine europarechtskonforme Auslegung des BDSG im Hinblick auf die Auftragsdatenverarbeitung in Drittstaaten fruchtbar gemacht werden. Der nationale Gesetzgeber musste bei der Umsetzung der DS-RL auch die zwei oben genannten Ziele der DS-RL beachten. Das Schutzniveau für die personenbezogenen Daten muss auch dann gewahrt bleiben, wenn eine Datenverarbeitung außerhalb der EU bzw. des EWR stattfindet. Das Aufstellen zusätzlicher Anforderungen, die über die Ziele der DS-RL hinausgingen, liegt nicht im Ermessen des nationalen Gesetzgebers. Der nationale Gesetzgeber darf die Ziele der DS-RL nicht durch eine restriktive Auslegung gefährden. Der deutsche Gesetzgeber gefährdet das zweite Ziel der Richtlinie, nämlich den freien Fluss personenbezogener Daten, dadurch, dass er in § 3 Abs. 8 Satz 3 BDSG Auftragsdatenverarbeiter im außereuropäischen Ausland nicht mit aufgenommen hat. Wenn aber die Frage, unter welchen Bedingungen eine Verarbeitung zugelassen ist, nach der Rechtsprechung des EuGH keinen weiter gehenden Bedingungen als denen der DS-RL unterliegen darf, dann gelten die Grundsätze, die der EuGH festgelegt hat, erst recht für die Frage, wann überhaupt eine Verarbeitung vorliegt und somit für die Abgrenzung der Auftragsdatenverarbeitung gegenüber der Übermittlung.573 Die DS-RL enthält nur in Art. 17 Abs. 2 bis 4 DS-RL Regelungen explizit über die Auftragsdatenverarbeitung. Durch eine Auslegung der Richtlinie, die auf den Erwägungsgründen 57 bis 59 DS-RL basiert, lassen sich die Grundsätze der Datenübermittlung, die in Art. 25 und Art. 26 DS-RL geregelt sind, auch auf die Auftragsdatenverarbeitung übertragen. Demnach ist auch in Drittstaaten dann eine Auftragsdatenverarbeitung möglich, wenn ein angemessenes Datenschutzniveau besteht oder die Ausnahmen des Art. 26 DS-RL vorliegen.574 Die DS-RL lässt also eine Auftragsdatenverarbeitung im Drittstaat zu, wenn ein angemessenes Datenschutzniveau besteht, wenn der Betroffene seine Einwilligung erteilt hat, wenn ausreichende Garantien für Wahrung der Betroffenenrechte bestehen oder wenn die Standardvertragsklauseln der EU-Kommission zur Auftragsdatenverarbeitung verwendet werden.575 Da 571 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22 ff. Rn. 50 ff. 572 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012. 573 Niemann, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 93 Rn. 92. 574 Kahler, RDV 2012, 167 (170). 575 Kahler, RDV 2012, 167 (170 f.).
II. Datenschutzrechtliche Rechtmäßigkeit189
Art. 25 und Art. 26 der DS-RL inhaltlich unbedingt und hinreichend genau sind, entfalten sie in allen Mitgliedstaaten unmittelbare Wirkung.576 (d) Konsequenzen der Rechtsprechung des EuGH: Unionsrechtswidrigkeit von § 3 Abs. 8 Satz 3 BDSG Wegen der vollharmonisierenden Wirkung der DS-RL und der unmittelbaren Anwendbarkeit von Art. 25 und Art. 26 DS-RL ist auch eine Auftragsdatenverarbeitung mit einem Auftragnehmer aus einem Drittstaat privilegiert, selbst wenn zwischen Auftraggeber und Auftragnehmer keine EUStandardvertragsklauseln verwendet werden. § 3 Abs. 8 Satz 3 BDSG ist somit unionsrechtswidrig. Die Prüfung der Voraussetzung für die Zulässigkeit einer Auftragsdatenverarbeitung mit einem Auftragnehmer aus einem Drittstaat erfolgt wiederum zweistufig: Auf der ersten Stufe sind die Voraussetzungen für eine Auftragsdatenverarbeitung, die § 11 BDSG stellt, zu prüfen. Auf der zweiten Stufe ist zu prüfen, ob ein angemessenes Datenschutzniveau besteht, der Betroffene eine Einwilligung für den Drittstaattransfer erteilt hat oder ausreichende Garantien für Wahrung der Betroffenenrechte bestehen. Die Prüfung der zweiten Stufe im Rahmen der Auftragsdatenverarbeitung erfolgt dabei entsprechend der Prüfung der zweiten Stufe bei der Übermittlung, mit der Abweichung, dass sich die Anforderungen an die Angemessenheit des Datenschutzniveaus im Drittstaat direkt aus der DS-RL ergeben, die Anforderungen an eine Übermittlung an eine Stelle im Drittstaat dagegen aus §§ 4b und 4c BDSG. cc) Prüfung der ersten Stufe: Zulässigkeit der Datenübermittlung bzw. der Auftragsdatenverarbeitung nach dem BDSG (1) Zulässigkeit der Datenübermittlung Bei der Übermittlung der Kunden- bzw. Personaldaten an einen CloudAnbieter mit Sitz in einem Drittstaat erfolgt die Prüfung der ersten Stufe grundsätzlich wie eine Prüfung der Erlaubnistatbestände bei der Übermittlung der Daten an einen Cloud-Anbieter mit Sitz in Deutschland. Für eine Rechtfertigung der Übermittlung von Kunden- und Personaldaten kommen eine Einwilligung nach § 4a BDSG577 und die Erlaubnistatbestände des § 28 Abs. 1 Satz 1 BDSG578 in Betracht. Die Übermittlung von Personaldaten 576 Kahler,
RDV 2012, 167 (171). dazu C. II. 3. 578 Siehe dazu C. II. 2. 577 Siehe
190
C. Auslagerung von Kunden- und Personaldaten in die Cloud
kann auch durch eine Betriebsvereinbarung579 gerechtfertigt sein. Allerdings spielt es im Rahmen der Interessenabwägung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG eine Rolle, dass der Cloud-Anbieter seinen Sitz in einem Drittstaat hat. (a) § 28 Abs. 1 Satz 1 Nr. 1 BDSG § 28 Abs. 1 Satz 1 Nr. 1 BDSG kann nicht als Erlaubnisnorm für die Auslagerung von Kundendaten in die Cloud dienen, wenn der Cloud-Anbieter seinen Sitz in einem Drittstaat hat. Es ist für das Unternehmen nicht erforderlich, Kundendaten an einen Cloud-Anbieter aus einem Drittstaat auszulagern. (b) § 28 Abs. 1 Satz 1 Nr. 2 BDSG § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt dagegen grundsätzlich bei der Übermittlung der Daten an einen außereuropäischen Cloud-Anbieter als Erlaubnisnorm in Betracht. Weichert580 ist der Ansicht, dass es nicht erforderlich sei, personenbezogene Daten an einen Cloud-Anbieter mit Sitz in einem Drittstaat auszulagern, wenn das Auslagern an einen Cloud-Anbieter mit Sitz in Deutschland oder der EU bzw. des EWR möglich ist. Anderes gelte nur dann, wenn die Nutzung eines außereuropäischen Cloud-Anbieters gegenüber der Nutzung eines deutschen oder europäischen Cloud-Anbieters eine sehr hohe Kosteneinsparung zur Folge habe. Da es große deutsche oder europäische Cloud-Anbieter gebe, die nicht erheblich höhere Kosten verursachen als beispielsweise US-amerikanische Cloud-Anbieter, werde eine Auslagerung an einen Cloud-Anbieter mit Sitz in einem Drittstaat nicht erforderlich sein. Dem ist nicht zuzustimmen. Gegen diese Ansicht spricht, dass mit dieser Argumentation fast nie eine Übermittlung an einen außereuropäischen Cloud-Anbieter möglich wäre. Eine Übermittlung an einen außereuropäischen Cloud-Anbieter sehen aber sowohl Art. 26 Abs. 2 DS-RL als auch die EU-Kommission mit den EU-Standardvertragsklauseln vor. Bei der Auslegung des nationalen Rechts müssen die EU-Standardvertragsklauseln als Rechtsakt der EU beachtet werden. Diese Beachtung schreibt der „effet utile“-Grundsatz vor.581 Die Übermittlung von personenbezogenen Daten im Rahmen des Cloud Computing ist also grundsätzlich nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG möglich.582 Es ist aber für den jeweiligen Ein579 Siehe
dazu C. II. 4. DuD 2010, 679 (683). 581 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 71; Nielen / Thum, K&R 2006, 171 (173); Rittweger / Schmidl, DuD 2004, 617 (619). 580 Weichert,
II. Datenschutzrechtliche Rechtmäßigkeit191
zelfall zu prüfen, ob die Interessenabwägung zugunsten des Unternehmens oder zugunsten des Betroffenen ausfällt. Der Sitz eines Cloud-Anbieters in einem Drittstaat kann sich dabei negativ auf die Interessen des Unternehmens im Rahmen der Interessenabwägung auswirken. Wird diese negative Wirkung nicht durch besondere Sicherheitsvorkehrungen des Cloud-Anbieters ausgeglichen, fällt eine Interessenabwägung bei der Auslagerung der Daten an einen außereuropäischen Cloud-Anbieter meist zugunsten der Interessen des Betroffenen aus. (c) § 28 Abs. 6 bis 9 BDSG Die strenge Interessenabwägung in § 28 Abs. 6 bis 9 BDSG bei Vorliegen besonderer Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG fällt schon bei Übermittlungen an deutsche Cloud-Anbieter nicht zugunsten des auslagernden Unternehmens aus.583 Die Interessenabwägung fällt somit auch nicht zugunsten des Unternehmens aus, wenn der Cloud-Anbieter aus einem Drittstaat stammt. Eine Übermittlung von sensiblen Daten an einen Cloud-Anbieter aus einem Drittstaat scheitert damit immer an § 28 Abs. 6 bis 9 BDSG. (2) Zulässigkeit der Auftragsdatenverarbeitung Die Voraussetzungen, die bei dem Transfer von Daten an einen CloudAnbieter aus einem Drittstaat im Rahmen einer Auftragsdatenverarbeitung eingehalten werden müssen, unterscheiden sich aufgrund der Privilegierungswirkung nicht von den schon oben584 genannten Anforderungen an eine Auftragsdatenverarbeitung mit einem deutschen Cloud-Anbieter. (3) M öglichkeit einer Datenübermittlung bzw. Auftragsdatenverarbeitung nach dem BDSG Es besteht die Möglichkeit, im Rahmen einer Übermittlung nach den nationalen Vorschriften die Kunden- und Personaldaten an einen CloudAnbieter aus einem Drittstaat gem. § 28 Abs. 1 Satz 1 Nr. 2 BDSG auszulagern. In der Praxis werden die hohen Anforderungen, die die Interessenabwägung an den Cloud-Anbieter stellt, aber selten erfüllt. Vielmehr überwiegen die schutzwürdigen Belange der betroffenen Personen das berechtig582 So auch Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 71; Nielen / Thum, K&R 2006, 171 (173). 583 Siehe dazu C. II. 2. e). 584 Siehe dazu C. II. 5. c).
192
C. Auslagerung von Kunden- und Personaldaten in die Cloud
te Interesse des Unternehmens an einer Auslagerung der Daten an einen Cloud-Anbieter aus einem Drittstaat. Da die Anforderungen gem. § 11 BDSG an die Auslagerung der Daten im Rahmen einer Auftragsdatenverarbeitung unabhängig davon bestehen, ob das Unternehmen die Kunden- bzw. Personaldaten im Rahmen einer Auftragsdatenverarbeitung mit einem Cloud-Anbieter aus Deutschland, der EU bzw. des EWR oder einem Drittstaat transferiert, kann das Unternehmen die Anforderungen einhalten. Bei einer Auftragsdatenverarbeitung mit einem Cloud-Anbieter aus einem Drittstaat kann das Unternehmen sogar sensible Daten auslagern. dd) Prüfung der zweiten Stufe: Einhalten der besonderen Anforderungen im Rahmen von Datentransfers an Cloud-Anbieter aus Drittstaaten Auf der zweiten Stufe müssen die besonderen Anforderungen geprüft werden, die bestehen, wenn die personenbezogenen Daten das durch die DS-RL festgelegte Schutzniveau der EU bzw. des EWR verlassen. Diese Anforderungen sind in Deutschland für Datenübermittlungen in §§ 4b und 4c BDSG geregelt. Zunächst ist zu prüfen, ob bei dem Cloud-Anbieter aus dem Drittstaat ein angemessenes Datenschutzniveau vorliegt. Hierfür ist zu klären, ob es auf das Datenschutzniveau der verantwortlichen Stelle oder auf das Datenschutzniveau des Landes ankommt. Besteht kein angemessenes Datenschutzniveau beim Cloud-Anbieter, kommen nach § 4c BDSG dennoch Ausnahmen in Betracht, wann trotz Fehlens eines angemessenen Datenschutzniveaus ein Datentransfer datenschutzkonform durchgeführt werden kann. Dabei sind besonders für Datentransfers in die USA das sog. „Safe Harbor-Abkommen“, das der EuGH aber inzwischen in der Entscheidung585 vom 6. Oktober 2015 für ungültig erklärt hat, dessen Nachfolger, das sog. „EU-US Privacy Shield“, und die EU-Standardvertragsklauseln von Bedeutung. Für Auftragsdatenverarbeitungen mit einem Cloud-Anbieter aus einem Drittstaat ist die DS-RL aufgrund ihrer vollharmonisierenden Wirkung586 unmittelbar anwendbar. Die DS-RL setzt für die zweite Prüfungsstufe dieselben Voraussetzungen wie § 4b BDSG und § 4c BDSG voraus, weshalb im Folgenden nicht zwischen der Prüfung der zweiten Stufe bei Übermittlungen und Auftragsdatenverarbeitungen unterschieden wird.
585 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 586 Siehe dazu C. II. 6. b) bb) (2) (c).
II. Datenschutzrechtliche Rechtmäßigkeit193
(1) Angemessenes Datenschutzniveau Es fragt sich zunächst, ob auf das Datenschutzniveau der Stelle oder auf das Datenschutzniveau des Landes abzustellen ist. § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG nennt das Datenschutzniveau der Stelle, Art. 25 Abs. 1 DS-RL das Datenschutzniveau des Landes, in dem die Stelle belegen ist. (a) Unionsrechtswidrigkeit von § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG Einer Ansicht587 nach soll das Datenschutzniveau im Empfängerland ausschlaggebend sein, da Art. 25 Abs. 1 DS-RL auf das Datenschutzniveau des Drittstaates verweist. Einer anderen Ansicht588 nach soll es auf das Datenschutzniveau der konkreten Stelle im Empfängerland ankommen. Diese Ansicht verweist auf den Wortlaut von § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG.589 Es könne sein, dass ein Drittstaat in manchen Bereichen ein angemessenes Schutzniveau aufweist, in anderen Bereichen aber nicht. Daher sei es sachgerecht, auf die konkrete Stelle abzustellen.590 Angesichts des Urteils591 des EuGH vom 24. November 2011, das der DS-RL eine vollharmonisierende Wirkung beimisst, wird § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG von Art. 25 Abs. 1 DS-RL ersetzt, da insofern § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG unionsrechtswidrig ist. Für die Angemessenheit des Datenschutzniveaus ist also das Datenschutzniveau des Landes, in dem die verantwortliche Stelle belegen ist, und nicht das Datenschutzniveau der verantwortlichen Stelle maßgebend. (b) Kriterien für die Angemessenheit des Datenschutzniveaus Hat der Drittstaat kein angemessenes Datenschutzniveau vorzuweisen, muss gem. Art. 25 Abs. 1 DS-RL die Datenübermittlung unterbleiben. Eine Ausnahme von diesem Grundsatz kann gem. § 4c BDSG vorliegen, wenn einer der dort genannten Tatbestände einschlägig ist. 587 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4b Rn. 23; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 19. 588 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 10; Simitis, in: Simitis (Hrsg.), BDSG, § 4b Rn. 46. 589 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 10. 590 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 10. 591 EuGH, Urteil vom 24.11.2011, C-468 / 10, C-469 / 10 – ASNEF / FECEMD, RDV 2012, 22 ff.
194
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Die Angemessenheit des Datenschutzniveaus wird gem. § 4b Abs. 3 Halbsatz 1 BDSG unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind. Zu diesen Umständen zählen gem. § 4b Abs. 3 Halbsatz 2 BDSG insbesondere die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den Empfänger geltenden Rechtsnormen und Standesregeln sowie die Maßnahmen der Datensicherheit. Gem. § 4b Abs. 5 BDSG trägt die verantwortliche Stelle die Verantwortung für die Zulässigkeit der Übermittlung und somit auch für die Überprüfung, ob ein angemessenes Datenschutzniveau gewährleistet ist. Das Datenschutzniveau gilt als angemessen, wenn es mit dem Datenschutzniveau, das die DS-RL vorgibt, vergleichbar ist.592 Die verantwortliche Stelle wird bei der Überprüfung meist die zuständige Aufsichtsbehörde zu Rate ziehen.593 Grundsätzlich hat ein Drittland kein angemessenes Datenschutzniveau.594 (c) Feststellung der Angemessenheit durch die EU-Kommission Nach Art. 25 Abs. 6 DS-RL und Art. 45 Abs. 1 DS-GVO kann die EUKommission verbindlich feststellen, dass ein Drittstaat aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ein angemessenes Datenschutzniveau hat. Diese Feststellung hat die EU-Kommission bisher für folgende Staaten getroffen: Andorra, Argentinien, Färöer Inseln, Guernsey, Isle of Man, Israel, Jersey, Kanada, Neuseeland, Schweiz Uruguay und USA595.596 Bei Übermittlungen in diese Staaten muss keine Einzelfallbetrachtung erfolgen, ob das Datenschutzniveau angemessen ist, sondern die Angemessenheit ist durch die Feststellung der EU-Kommission gegeben.597 Daher müssen auf der zweiten Prüfungsstufe keine weiteren Vorkehrungen getroffen werden, wenn personenbezogene Daten an einen Cloud-Anbieter aus den oben genannten Drittstaaten ausgelagert werden sollen.
592 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 2; Gola / Schomerus, BDSG, § 4b Rn. 12. 593 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 21. 594 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4b Rn. 2; Gola / Schomerus, BDSG, § 4b Rn. 12. 595 Für den Sonderfall USA siehe C. II. 6. b) dd) (2). 596 EU-Kommission, Adäquanzentscheidungen. 597 Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4b Rn. 22.
II. Datenschutzrechtliche Rechtmäßigkeit195
(2) Sonderfall USA: Safe Harbor-Prinzipien Die USA sind grundsätzlich datenschutzrechtlich gesehen ein unsicherer Drittstaat. Das Datenschutzniveau in den USA wird grundsätzlich als nicht angemessen für eine Datenübermittlung aus Deutschland angesehen.598 Der Datenschutz in den USA ist stark vom Einzelfall und den Umständen des einzelnen Falls abhängig.599 Insgesamt vertrauen die USA eher auf freiwillige Selbstverpflichtungen der US-amerikanischen Unternehmen, verfolgen also einen Selbstregulierungsansatz. Eine staatliche Kontrolle des Datenschutzes findet daher nur selten statt.600 Um ein aus europäischer Sicht angemessenes Datenschutzniveau zu sichern, wurde nach jahrelangen Verhandlungen zwischen der EU-Kommission und dem US-Handelsministerium im Jahr 2000 das EU-US Safe HarborAbkommen vereinbart.601 Das Safe Harbor-Abkommen wurde jedoch vom EuGH in der Entscheidung602 vom 6. Oktober 2015 für ungültig erklärt. Unternehmen können sich auf der zweiten Prüfungsstufe nicht mehr für die Angemessenheit des Datenschutzniveaus in den USA auf das Safe HarborAbkommen berufen. Dennoch werden im Folgenden die Grundzüge des Safe Harbor-Abkommens und die Kritik am Safe Harbor-Abkommen dargestellt, weil diese Erläuterungen für das Verständnis der Anforderungen an den Nachfolger des Safe Harbor-Abkommens, das sog. „EU-US Privacy Shield“, von Bedeutung ist. (a) „Safe Harbor 1.0“ (aa) Grundlagen der Safe Harbor-Zertifizierung Rechtsgrundlage für das Anerkennen der Safe Harbor-Zertifizierung war die Entscheidung 2000 / 520 / EG der EG-Kommission vom 26. Juli 2000.603 598 Niemann, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 87 Rn. 78; Söbbing, in: Söbbing (Hrsg.), Handbuch IT-Outsourcing, S. 437 Rn. 325; Marnau / Schlehahn, DuD 2011, 311 (312); Moos / Schefzig, CR 2015, 625 (626); Räther / Seitz, MMR 2002, 425 (426); Wybitul / Patzak, RDV 2011, 11 (13). 599 Lejeune, CR 2013, 755. 600 Söbbing, in: Söbbing (Hrsg.), Handbuch IT-Outsourcing, S. 437 Rn. 325. 601 Söbbing, in: Söbbing (Hrsg.), Handbuch IT-Outsourcing, S. 437 f. Rn. 326; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 46; Marnau / Schlehahn, DuD 2011, 311 (312). 602 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 603 EG-Kommission, Safe Harbor-Entscheidung.
196
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Nach dem „Abkommen“ konnten sich US-Unternehmen den sog. „Safe Harbor-Prinzipien“, die von der Federal Trade Commission (FTC) aufgestellt wurden, unterwerfen und sich so selbst zertifizieren.604 Der Begriff des „Abkommens“ ist irreführend, da es keinen Vertragsschluss mit beiderseitigen Leistungspflichten gab, sondern nur das Vorgehen bezüglich Datenübermittlungen im Ausland abgestimmt wurde.605 Diese Selbstzertifizierung erfolgte auf freiwilliger Basis.606 Die Unternehmen konnten zwei Wege607 beschreiten, um sich zu zertifizieren. Entweder sie traten einem selbstregulierenden Datenschutzprogramm bei, das auf den unten genannten Anforderungen an Safe Harbor basierte, oder sie gaben eine selbstbindende Datenschutzerklärung, eine sog. „privacy police“ ab, die vereinbar mit den Safe Harbor-Prinzipien war. Der zweite Weg war bei den Unternehmen beliebter, da sie die Erklärung besser auf ihre eigenen Bedürfnisse anpassen konnten.608 Bekannte Beispiele sind Amazon, Google, Facebook und Microsoft.609 Für die Übermittlung von Daten an Safe Harbor-zertifizierte Unternehmen wurde von der EU-Kommission das Vorliegen eines angemessenen Datenschutzniveaus angenommen. Wurden personenbezogene Daten an ein Safe Harbor-zertifiziertes Unternehmen übermittelt, musste auf der zweiten Prüfungsstufe kein weiterer Tatbestand vorliegen, da die Angemessenheit des Datenschutzniveaus beim zertifizierten Unternehmen durch das Safe HarborAbkommen vermutet wurde. Diese Zertifizierung war aber nur für US-amerikanische Unternehmen möglich, die der Gerichtsbarkeit der FTC unter liegen. Das traf aber auf Unternehmen vieler Branchen nicht zu. Finanz institute, Kreditgenossenschaften, Telekommunikationsanbieter, Luftverkehrsunternehmen, Fleischwarenproduzenten und Vieh- und Fleischhändler konnten sich nicht zertifizieren.610 Die Zertifizierung erfasste regelmäßig nur bestimmte Arten von Daten. Die meisten Unternehmen fassten unter diese Daten auch Kunden- und Personaldaten. Eine Ausnahme war Amazon.com, das den Schutz der Safe Harbor-Zertifizierung nicht auf alle personenbezogenen Daten erstreckte, sondern in seiner Selbstzertifizierung die Personaldaten vom Schutz ausschloss.611 US-amerikanische Unternehmen, die sich selbst 604 Marnau / Schlehahn, DuD 2011, 311 (312); Rath / Rothe, K&R 2013, 623 (625); Wybitul / Patzak, RDV 2011, 11 (13 f.). 605 Sander / Kremer, in: Taeger (Hrsg.), IT und Internet, S. 664. 606 Marnau / Schlehahn, DuD 2011, 311 (313). 607 Marnau / Schlehahn, DuD 2011, 311 (313). 608 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 49; Marnau / Schlehahn, DuD 2011, 311 (313). 609 Export.gov, Liste von Safe Harbor-zertifizierten Unternehmen. 610 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 50; Marnau / Schlehahn, DuD 2011, 311 (313); Räther / Seitz, MMR 2002, 425 (429). 611 Marnau / Schlehahn, DuD 2011, 311 (313).
II. Datenschutzrechtliche Rechtmäßigkeit197
zertifizierten, mussten folgende sieben Grundprinzipien612 einhalten, die auf europäischen Datenschutzprinzipien basierten:613 – Notice (Benachrichtigung): Der Betroffene muss vorab über die Erhebung seiner Daten und den Zweck der Verarbeitung informiert werden. – Choice (Freiwilligkeit): Dem Betroffenen muss bezüglich der Erhebung, Verarbeitung und Übermittlung der personenbezogenen Daten die Möglichkeit eingeräumt werden, der Verwendung zu widersprechen. Ihm muss also die Möglichkeit zum sog. „Opt-out“ eingeräumt werden. – Onward Transfer (Übermittlung): Ein Unternehmen, das die Daten an Dritte übermittelt, muss die Voraussetzungen von „Notice“ und „Choice“ einhalten. – Security (Datensicherheit): Die Unternehmen müssen Maßnahmen treffen, um die Daten vor Verlust, Missbrauch, unbefugter Kenntnisnahme, Veränderung oder Zerstörung zu schützen. – Data Integrity (Datenintegrität): Gemeint ist damit nicht Konsistenz der Daten, sondern dass die Daten relevant und verlässlich in Bezug auf den Verwendungszweck sind. – Access (Zugang): Die Unternehmen müssen den Betroffenen ein Auskunftsrecht und Korrektur- bzw. Löschansprüche einräumen. – Enforcement (Durchsetzung): Es müssen Vorkehrungen getroffen werden, die die Umsetzung der genannten Prinzipien sicherstellen. Neben den Safe Harbor-Prinzipien waren auch die FAQ des US-Handelsministeriums zu den Safe Harbor-Prinzipien verbindlich.614 Die DS-RL sieht eine derartige Möglichkeit eines „Abkommens“ der EUKommission mit einem Drittstaat nicht vor. Die Safe Harbor-Zertifizierung war vielmehr ein Kunstgriff, um zu dem gewünschten Ergebnis – nämlich einer rechtskonformen Möglichkeit der Übermittlung von Daten an Unternehmen aus den USA – zu gelangen.615 612 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1227 f. Rn. 70; Söbbing, in: Söbbing (Hrsg.), Handbuch IT-Outsourc ing, S. 438 f. Rn. 328; Hennrich, Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz, S. 174 ff.; Sander / Kremer, in: Taeger (Hrsg.), IT und Internet, S. 665; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 47 f.; Export.gov, Safe Harbor-Prinzipien; Marnau / Schlehahn, DuD 2011, 311 (312); Räther / Seitz, MMR 2002, 425 (428). 613 Rath / Rothe, K&R 2013, 623 (625). 614 Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 46; Marnau / Schlehahn, DuD 2011, 311 (312). 615 Sander / Kremer, in: Taeger (Hrsg.), IT und Internet, S. 665; Weichert, DuD 2010, 679 (686).
198
C. Auslagerung von Kunden- und Personaldaten in die Cloud
(bb) Kritik an der Safe Harbor-Zertifizierung Ursprünglich konnten europäische Unternehmen darauf vertrauen, dass eine Datenübermittlung an ein US-amerikanisches Unternehmen, das sich laut FTC den Safe Harbor-Prinzipien unterwarf, datenschutzrechtlich zulässig war. Die Kritik an den Safe Harbor-Prinzipien und an der Selbstzertifizierung der US-amerikanischen Unternehmen nahm über die Jahre hinweg zu, so dass die europäischen Aufsichtsbehörden europäische Unternehmen aufforderten, nicht blindlings der Zertifizierung zu vertrauen. So fasste der Düsseldorfer Kreis am 28. und 29. April 2010 den Beschluss616, dass sich ein Unternehmen bei einer Datenübermittlung in die USA nicht allein auf eine behauptete Safe Harbor-Zertifizierung verlassen dürfe, sondern die Einhaltung der Mindeststandards selbst überprüfen müsse.617 Das Unternehmen müsse nachprüfen, ob überhaupt eine Safe Harbor-Zertifizierung bestehe und ob diese noch Gültigkeit besitze.618 Außerdem müsse das Unternehmen von den US-amerikanischen Unternehmen einen Nachweis anfordern, inwiefern „das importierende Unternehmen seinen Informationspflichten […] gegenüber den von der Datenverarbeitung Betroffenen nachkommt“.619 Eine Studie620 kam zu dem Ergebnis, dass die Falschangaben der USamerikanischen Unternehmen bezüglich der Einhaltung der Safe HarborPrinzipien beträchtlich seien. Dies sei vor allem darauf zurückzuführen, dass die Selbstzertifizierung kaum von der FTC überwacht werde und dass die Konsequenzen bei Falschangaben durch die US-amerikanischen Unternehmen zu milde oder gar nicht vorhanden seien. Auch sei die Liste der Safe Harbor-zertifizierten Unternehmen auf der Homepage der FTC nicht aktuell. Außerdem gehe die FTC möglichen Verstößen durch die zertifizierten Unternehmen nur zögerlich nach. Sanktionen seien äußerst selten. Die FTC greife nur selten und häufig nur bei unfairen oder irreführenden Praktiken von US-amerikanischen Unternehmen ein. Die EU-Kommission nahm die Kritik am Safe Harbor-Abkommen ernst. Sie veröffentlichte Ende 2013 eine Mitteilung621 über die Funktionsweise 616 Düsseldorfer
Kreis, Beschluss vom 28. / 29.04.2010. Kreis, Beschluss vom 28. / 29.04.2010; Marnau / Schlehahn, DuD 2011, 311 (315); Rath / Rothe, K&R 2013, 623 (626); Wybitul / Patzak, RDV 2011, 11 (14). 618 Düsseldorfer Kreis, Beschluss vom 28. / 29.04.2010; Marnau / Schlehahn, DuD 2011, 311 (315); Rath / Rothe, K&R 2013, 623 (626); Wybitul / Patzak, RDV 2011, 11 (14). 619 Düsseldorfer Kreis, Beschluss vom 28. / 29.04.2010; Marnau / Schlehahn, DuD 2011, 311 (315). 620 Connolly, Galexia-Studie. 621 EU-Kommission, KOM(2013) 846 endgültig. 617 Düsseldorfer
II. Datenschutzrechtliche Rechtmäßigkeit199
des Safe Harbor-Abkommens. Darin bezweifelt die EU-Kommission aufgrund der Snowden-Enthüllungen, dass die personenbezogenen Daten europäischer Bürger bei Datenübermittlungen in die USA jederzeit vor unbefugtem Zugriff geschützt seien. Sie sprach deswegen 13 Empfehlungen622 für die Überarbeitung des Safe Harbor-Abkommens aus.623 (b) Urteil des EuGH: Ungültigkeit von „Safe Harbor“ (aa) Ursachen Das Safe Harbor-Abkommen diente – trotz aller Kritik – 15 Jahre lang dazu, für Übermittlungen in die USA ein vermeintlich angemessenes Datenschutzniveau herzustellen, bevor es durch den EuGH in der Entscheidung624 vom 6. Oktober 2015 für ungültig erklärt wurde. Hintergrund für das EuGH-Urteil ist die Entwicklung in den USA in den letzten 15 Jahren vor dem Urteil. Der Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, kurz US Patriot Act, war eine Reaktion auf die Anschläge vom 11. September 2001. Den US-Geheimdiensten und anderen Sicherheitsbehörden sollten weiterreichende Befugnisse eingeräumt werden. Der US Patriot Act ist kein eigenständiges Gesetz, sondern ein Änderungsgesetz, das bestehende US-Regelungen modifiziert.625 Der Geltungszeitraum des US Patriot Act wurde schon mehrmals verlängert, das letzte Mal bis Dezember 2019.626 Ein Beispiel für die Einräumung weitreichender Befugnisse ist die Änderung des 50.USC § 1861 durch Sec.215 des US Patriot Act. 50.USC § 1861 enthält den sog. „Foreign Intelligence Surveillance Act“ (kurz: FISA).627 FISA zielt darauf ab, Möglichkeiten für die Exekutive zu schaffen, ausländische Geheimdienste zu überwachen. FISA gestattet den Sicherheitsbehörden, allen voran dem Federal Bureau of Investigation (FBI), die Beantragung einer Anordnung zur Herausgabe bestimmter Geschäftsunterlagen 622 EU-Kommission,
KOM(2013) 847 endgültig. CR 2015, 625 (626). 624 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 625 Haag, in: Leupold / Glossner (Hrsg.), MAH IT-Recht, Teil 4 Rn. 44; Schneider, in: Taeger (Hrsg.), IT und Internet, S. 761; Becker / Nikolaeva, CR 2012, 170 f.; Lejeune, CR 2013, 755 (756); Voigt / Klein, ZD 2013, 16. 626 Hogan Lovells, USA Freedom Act; The Washington Post, USA Freedom Act; Voigt / Klein, ZD 2013, 16. 627 Schneider, in: Taeger (Hrsg.), IT und Internet, S. 761. 623 Moos / Schefzig,
200
C. Auslagerung von Kunden- und Personaldaten in die Cloud
beim sog. „FIS Court“.628 Der FIS Court tagt geheim und veröffentlicht nur in raren Ausnahmefällen seine Entscheidungen. Der US Patriot Act hat diese Befugnisse noch erweitert: Alle Arten von Unterlagen („all tangible things“) können nun von jeder Stelle und bereits dann herausverlangt werden, wenn sie mit der Untersuchung von Terrorismus und Spionage in Verbindung stehen.629 Eine weitere Eingriffsmöglichkeit sind die sog. „National Security Letters“ (kurz: NSL). Das FBI und andere US-amerikanische Behörden können ohne Zwischenschaltung eines Gerichts selbst Anordnungen in Form der NSLs erlassen.630 Der US Patriot Act hat die Anzahl der Ermächtigungen vergrößert und sie an laxere Voraussetzungen gebunden. Das FBI und andere Justizbehörden können schon dann einen NSL erlassen, wenn die Informationen für eine Untersuchung zu Zwecken nationaler Sicherheit benötigt werden. Allerdings hat der Anwendungsbereich für den Einsatz von NSLs Grenzen, da nur bestimmte Arten von Informationen herausverlangt werden können.631 Zusätzlich zu FISA- oder NSL-Anordnungen kann dem Empfänger ein sog. „gag order“ auferlegt werden. Ein „gag order“ ist eine zusätzliche Anordnung, die den Adressaten der FISA- oder NSL-Anordnung dazu verpflichtet, über diese Stillschweigen zu bewahren.632 Der eigentliche Auslöser der Überprüfung von Safe Harbor durch den EuGH waren die sog. „Snowden-Enthüllungen“: Im Juni 2013 informierte Edward Snowden über Einzelheiten der Überwachungspraxis der National Security Agency (NSA) und verbündeter Nachrichtendienste (Five Eyes). Seitdem wurden immer mehr Details der umfassenden Ausspähpraxis bekannt.633 Die Veröffentlichung der Informationen durch Edward Snowden ist der bislang schwerwiegendste Geheimnisverrat in der Geschichte der US-amerikanischen Geheimdienste.634 Der FIS Court soll auf Grundlage von FISA den großen US-Internet- und Telekommunikationsdiensten auf 628 Becker / Nikolaeva, CR 2012, 170 (171); Schuppert / von Reden, ZD 2013, 210 (217); Voigt / Klein, ZD 2013, 16 (17). 629 Becker / Nikolaeva, CR 2012, 170 (171); Voigt, MMR 2014, 158 (159); Voigt / Klein, ZD 2013, 16 (17). 630 Schneider, in: Taeger (Hrsg.), IT und Internet, S. 762; Lejeune, CR 2013, 755 (756); Schuppert / von Reden, ZD 2013, 210 (217). 631 Becker / Nikolaeva, CR 2012, 170 (171). 632 Schneider, in: Taeger (Hrsg.), IT und Internet, S. 763; Becker / Nikolaeva, CR 2012, 170 (171); Lejeune, CR 2013, 755 (756); Schuppert / von Reden, ZD 2013, 210 (217). 633 Roßnagel / Jandt / Richter, DuD 2014, 545 m. w. N.; eine umfassende Timeline zum NSA-Skandal bietet auch der Heise Verlag im Internet unter: http: // www.heise. de / extras / timeline / #vars!date=2014-01-01_13:23:00! (letzter Abruf: 31.07.2016). 634 Wolf, JZ 2013, 1039.
II. Datenschutzrechtliche Rechtmäßigkeit201
erlegt haben, täglich Millionen von Datensätzen an die US-amerikanischen Geheimdienste zu übermitteln.635 Die Überwachung ist umfassend und anlasslos. Die Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung werden nicht eingehalten.636 Es ist das Ziel der weltweiten Überwachung, möglichst viele Daten (seien es tatsächlich Inhaltsdaten oder auch nur Metadaten) im Internet und sonstigen Telekommunikationsnetzen von möglichst vielen Menschen zu erfassen.637 Die Überwachungstechnologien haben Namen wie PRISM, XKeyScore und Tempora.638 (bb) Sachverhalt Der österreichische Staatsangehörige Max Schrems nutzt seit 2008 das soziale Netzwerk Facebook. Um Facebook nutzen zu können, müssen alle EUBürger einen Vertrag mit Facebook Irland, einer Tochtergesellschaft von Face book Inc., abschließen. Facebook Inc. ist in den USA ansässig. Facebook Irland übermittelt die personenbezogenen Daten der EU-Bürger teilweise oder komplett an die in den USA stehenden Server der Facebook Inc. Dort werden die Daten dann auch verarbeitet.639 Am 25. Juni 2013 legte Max Schrems beim zuständigen Datenschutzbeauftragten in Irland (sog. „Data Protection Commissioner“) Beschwerde gegen Facebook Irland ein. Facebook Irland müsse es untersagt werden, die personenbezogenen Daten weiterhin an Facebook Inc. zu übermitteln, da in den USA kein angemessenes Datenschutzniveau gegeben sei. Dies hätten die Erkenntnisse von Edward Snowden über die massenhafte Überwachung durch die US-amerikanischen Geheimdienste ergeben.640 Der irische Datenschutzbeauftragte wies die Beschwerde als unbegründet zurück. Es gebe keine Beweise für einen Zugriff der NSA auf die Daten von Max Schrems. Außerdem war der Datenschutzbeauftragte der Ansicht, dass durch die Entscheidung 2000 / 520 / EG – also durch das Safe Harbor-Abkommen – festgestellt sei, dass in den USA ein angemessenes Schutzniveau bei Einhaltung der Vo raussetzungen des Safe Harbor-Abkommens gegeben sei.641 Max Schrems erhob daraufhin Klage beim irischen High 635 Gercke,
CR 2013, 749 (750); Petri, ZD 2013, 557 (558). Orientierungshilfe Cloud Computing – Version 2.0, S. 21; Petri, DuD 2015, 801 (803). 637 Roßnagel / Jandt / Richter, DuD 2014, 545; Wolf, JZ 2013, 1039. 638 Petri, ZD 2013, 557 (558) m. w. N.; Wolf, JZ 2013, 1039 (1040). 639 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Sachverhalt. 640 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Sachverhalt. 641 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Sachverhalt. 636 DSK,
202
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Court. Der High Court befand, dass die NSA und andere Bundesbehörden in den USA „erhebliche Exzesse“ begangen hätten. Es sei außerdem problematisch, dass den EU-Bürgern gegen die Überwachungsmaßnahmen keine rechtlichen Mittel offen stünden.642 Der High Court setzte das Verfahren aus und legte dem EuGH folgende Fragen zur Vorabentscheidung vor: „1. Ist ein unabhängiger Amtsträger, der von Rechts wegen mit der Handhabung und der Durchsetzung von Rechtsvorschriften über den Datenschutz betraut ist, bei der Prüfung einer bei ihm eingelegten Beschwerde, dass personenbezogene Daten in ein Drittland (im vorliegenden Fall in die Vereinigten Staaten von Amerika) übermittelt würden, dessen Recht und Praxis keinen angemessenen Schutz der Betroffenen gewährleisteten, im Hinblick auf die Art. 7, 8 und 47 der [GRCh], unbeschadet der Bestimmungen von Art. 25 Abs. 6 [DS-RL], absolut an die in der Entscheidung 2000 / 520 enthaltene gegenteilige Feststellung der Union gebunden? 2. Oder kann und / oder muss der Amtsträger stattdessen im Licht tatsächlicher Entwicklungen, die seit der erstmaligen Veröffentlichung der Entscheidung der Kommission eingetreten sind, eigene Ermittlungen in dieser Sache anstellen?“643
(cc) Aussagen und Folgen des Urteils Der EuGH prüfte die beiden Vorlagefragen gemeinsam.644 Er untersuchte zunächst, ob die nationalen Kontrollstellen i. S. v. Art. 28 DS-RL eine Entscheidung der EU-Kommission, die nach Art. 25 Abs. 6 DS-RL ergangen ist, kontrollieren dürfen.645 Anschließend führte der EuGH selbst eine Prüfung des Safe Harbor-Abkommens durch.646 Zunächst wies der EuGH darauf hin, dass „die Bestimmungen der [DSRL], soweit sie die Verarbeitung personenbezogener Daten regeln, die zu Beeinträchtigungen der Grundfreiheiten und [insbesondere] des Rechts auf Achtung der Privatsphäre führen kann, notwendigerweise im Licht der durch die Charta garantierten Grundrechte auszulegen sind.“647 Der EuGH hob vor al642 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Sachverhalt. 643 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Sachverhalt. 644 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 37. 645 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 38–66. 646 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 67–106. 647 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 38.
Schrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data Pro-
II. Datenschutzrechtliche Rechtmäßigkeit203
lem die Bedeutung des Grundrechts auf Achtung des Privatlebens (Art. 7 GRCh) und des Grundrechts auf Schutz personenbezogener Daten (Art. 8 GRCh) hervor.648 Aus Art. 28 Abs. 1 DS-RL und sogar aus dem Primärrecht der EU, nämlich aus Art. 8 Abs. 3 GRCh und Art. 16 Abs. 2 AEUV, ergebe sich, dass die Mitgliedstaaten eine oder mehrere Behörden damit beauftragen müssen, völlig unabhängig die Einhaltung der Unionsvorschriften bei der Verarbeitung von personenbezogenen Daten natürlicher Personen zu überwachen.649 Jede dieser Behörden sei damit auch zur Prüfung befugt, ob die Anforderungen der DS-RL bei Übermittlungen aus ihrem Staat in Drittländern eingehalten werden. Es sei unter anderem zu prüfen, ob in dem Drittland ein angemessenes Datenschutzniveau gegeben ist. Wenn kein angemessenes Datenschutzniveau gegeben ist, müsse die Übermittlung untersagt werden. Die Feststellung über die Angemessenheit des Datenschutzniveaus könne sowohl von den Mitgliedstaaten als auch von der EU-Kommission getroffen werden.650 Eine Entscheidung der EU-Kommission über die Angemessenheit des Datenschutzniveaus sei aber für alle Mitgliedstaaten verbindlich. Solange die Entscheidung der EU-Kommission nicht durch den EuGH für ungültig erklärt wurde, dürfen laut EuGH die Mitgliedstaaten und ihre Organe zwar keine der Entscheidung der EU-Kommission zuwiderlaufenden Maßnahmen treffen, es muss ihnen aber gestattet sein, sich mit der Entscheidung zu befassen, wenn Personen rügen, dass ihre personenbezogenen Daten nicht ausreichend geschützt seien.651 Würde man diese Überprüfung durch die nationalen Kontrollstellen nicht zulassen, würde man den betroffenen Personen das ihnen durch Art. 8 Abs. 1 und 3 GRCh garantierte Recht vorenthalten, sich an die nationalen Kontrollstellen wenden zu können.652 „Art. 25 Abs. 6 der [DSRL sei] im Licht der Art. 7, 8 und 47 der [GRCh] dahin auszulegen […], dass eine auf Grund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000 / 520, in der die Kommission feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, eine Kontrollstelle eines Mitgliedstaats i. S. v. Art. 28 [DS-RL] nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mit648 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 39. 649 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 40. 650 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 47–50. 651 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 51–57. 652 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 58.
Schrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data Pro-
204
C. Auslagerung von Kunden- und Personaldaten in die Cloud
gliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.“653 Der EuGH stellte insoweit klar, dass eine nationale Behörde auch Kommissionsentscheidungen wie das Safe Harbor-Abkommen überprüfen darf. Allerdings sei es Aufgabe des Gerichts, die Ungültigkeit solcher Entscheidungen festzustellen.654 Im Folgenden untersuchte der EuGH also nun, ob das Safe Harbor-Abkommen weiterhin gültig sein soll. Der EuGH wies zunächst darauf hin, dass weder Art. 25 Abs. 2 DS-RL noch eine andere Bestimmung der DS-RL eine Definition des Begriffs des angemessenen Schutzniveaus enthalte. Vielmehr sehe Art. 25 Abs. 2 DS-RL vor, dass die Angemessenheit „unter Berücksichtigung aller Umstände beurteilt [wird], die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen eine Rolle spielen.“ Die Angemessenheit bedeute nicht, dass ein Drittland ein identisches Schutzniveau wie in der EU gewähren müsse. Allerdings müsse das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ein Schutzniveau gewährleisten, das dem der EU gleichwertig ist.655 Entscheidet die EU-Kommission über die Angemessenheit des Schutzniveaus in einem Drittland, müsse die Kommission in regelmäßigen Abständen prüfen, ob die Feststellung der Angemessenheit weiterhin in sachlicher und rechtlicher Sicht gerechtfertigt ist, da das Schutzniveau des Drittlandes Veränderungen unterliegen kann.656 Der EuGH stellte daraufhin fest, dass die Angemessenheit des Schutzniveaus grundsätzlich durch ein System der Selbstzertifizierung erreicht werden könne. Dies setze aber voraus, dass wirksame Überwachungs- und Kontrollmechanismen vorhanden sind, die es auch erlauben, Verstöße gegen die Grundrechte der Grundrechtecharta zu ermitteln und zu ahnden.657 Nach Abs. 4 von Anhang I der Entscheidung 2000 / 520 / EG kann die Geltung der Safe HarborGrundsätze eingeschränkt werden, „insoweit, als Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen Rechnung getragen werden muss“, sowie „durch Gesetzesrecht, staatliche Regulierungsvorschriften oder Fallrecht, die unvereinbare Verpflichtun653 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 66. 654 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 61. 655 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 70–73. 656 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 74–78. 657 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian tection Commissioner, MMR 2015, 753 ff. Rn. 79–83.
Schrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data ProSchrems / Data Pro-
II. Datenschutzrechtliche Rechtmäßigkeit205
gen oder ausdrückliche Ermächtigungen schaffen, vorausgesetzt, die Organisation kann in Wahrnehmung dieser Ermächtigungen nachweisen, dass die Nichteinhaltung der Grundsätze sich auf das Ausmaß beschränkte, das die Einhaltung übergeordneter berechtigter Interessen auf Grund eben dieser Ermächtigung erforderte“. Es werde somit in der Entscheidung 2000 / 520 / EG den „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen“ der Vorrang vor den Grundsätzen des Safe Harbor-Abkommens eingeräumt. US-amerikanische Unternehmen müssen also bei Vorliegen dieser Konstellationen den nationalen Gesetzen Vorrang vor den Grundsätzen des Safe Harbor-Abkommens einräumen.658 Die Ausnahme in Abs. 4 von Anhang I des Safe Harbor-Abkommens sei sehr generell gefasst. Unionsregelungen, die einen Eingriff in die Grundrechte aus Art. 7 und 8 GRCh enthalten, müssten nach ständiger Rechtsprechung des EuGH klare und präzise Regeln für die Tragweite und Anwendung einer Maßnahme haben und Mindestanforderungen aufstellen, damit betroffene Personen über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang und Nutzung ermöglichen. Auch die von der EU-Kommission selbst vorgenommene Analyse659 der Umsetzung des Safe Harbor-Abkommens zeigte, dass die EU-Kommission annahm, dass amerikanische Behörden auf die aus der EU übermittelten Daten Zugriff hätten und sie in einer Weise verarbeiten könnten, die mit den Zielsetzungen der Übermittlungen nicht vereinbar waren und darüber hinausging, was verhältnismäßig war. Außerdem stellte die EU-Kommission fest, dass es gegen diesen Missbrauch der Daten für die betroffenen Personen keine administrativen oder gerichtlichen Rechtsbehelfe gebe.660 Der EuGH führte weiter aus, dass der Schutz des Grundrechts auf Achtung des Privatlebens vor allem verlange, dass Ausnahmen von dem Schutz der personenbezogenen Daten und Einschränkungen auf das absolute Notwendige beschränkt werden. Eine Regelung, „die generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt wurden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne ein objektives Kriterium vorzusehen, das es ermöglicht, den Zugang der Behörden zu den Daten und deren spätere Nutzung auf ganz bestimmte, strikt begrenzte Zwecke zu beschränken, die den sowohl mit dem Zugang zu diesen Daten als auch mit deren Nutzung 658 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 84–86. 659 EU-Kommission, KOM(2013) 846 endgültig, Abschnitte 2 und 3.2 und EUKommission, KOM(2013) 847 endgültig, Abschnitte 7.1, 7.2 und 8. 660 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 87–91.
206
C. Auslagerung von Kunden- und Personaldaten in die Cloud
verbundenen Eingriff zu rechtfertigen vermögen“, sei nicht auf das absolut Notwendige beschränkt. Eine solche Regelung verletze somit das Grundrecht auf Achtung des Privatlebens (Art. 7 GRCh).661 Außerdem verletze eine Regelung, welche dem betroffenen Bürger keinen Rechtsbehelf gebe, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz (Art. 47 GRCh).662 In der Entscheidung 2000 / 520 / EG habe die EU-Kommission nicht festgestellt, dass die USA tatsächlich ein angemessenes Schutzniveau „gewährleisten“. Art. 1 der Entscheidung 2000 / 520 / EG verstoße damit gegen die in Art. 25 Abs. 6 DS-RL im Licht der Grundrechtecharta festgelegten Anforderungen und sei aus diesem Grund ungültig.663 Der EuGH stellte weiterhin fest, dass die EU-Kommission mit Art. 3 der Entscheidung 2000 / 520 / EG ihre Zuständigkeit im Rahmen von Art. 25 Abs. 6 DS-RL überschritten hat, weil Art. 3 Abs. 1 Unterabs. 1 der Entscheidung von 2000 / 520 / EG so zu verstehen sei, dass er den nationalen Kontrollstellen Befugnisse der Überprüfung der Angemessenheit des Datenschutzniveaus entzieht. Art. 3 der Entscheidung 2000 / 520 / EG sei deshalb auch ungültig.664 Der EuGH schloss die Entscheidung mit der Feststellung ab, dass Art. 1 und Art. 3 der Entscheidung 2000 / 520 / EG untrennbar mit Art. 2 und Art. 4 verbunden seien und somit aus den vorstehenden Erwägungen der Schluss zu ziehen sei, dass die Entscheidung 2000 / 520 / EG, also das sog. „Safe Harbor-Abkommen“, in seiner Gänze ungültig ist.665 Der EuGH hat mit dem Urteil666 vom 6. Oktober 2015 aber nicht entschieden, dass die USA generell ein „unsicherer Hafen“ ist. Der EuGH hat auch nicht entschieden, ob die Übermittlung der personenbezogenen Daten von Max Schrems an die Facebook Inc. zulässig ist. Vielmehr muss der irische Datenschutzbeauftragte auf Grundlage der Entscheidung des EuGH das Anliegen von Max Schrems neu prüfen.667 661 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 92–94. 662 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 95. 663 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 96–98. 664 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 99–104. 665 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. Rn. 15–106. 666 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 667 Härting in seiner Anmerkung zu EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, CR 2015, 633 (640); Piltz, K&R 2016, 1 (2).
II. Datenschutzrechtliche Rechtmäßigkeit207
Aus den Ausführungen des EuGH folgt, dass Datentransfers in die USA auf der zweiten Prüfungsstufe nicht mehr durch das Safe Harbor-Abkommen gerechtfertigt werden können. (c) „Safe Harbor 2.0“ Schon seit Ende 2013 verhandelten Vertreter der EU-Kommission und der USA über ein „Safe Harbor 2.0“.668 Der EuGH hat durch seine Entscheidung669 vom 6. Oktober 2015 nicht den Schluss eines „Safe Harbors 2.0“ zwischen der EU-Kommission und den USA verhindert. Eine Rechtfertigung von Datentransfers von der EU in die USA durch ein neues Abkommen kommt künftig in Betracht. Allerdings muss ein solches Abkommen strengere Anforderungen an die Datentransfers in die USA – besonders bezogen auf mögliche Datenzugriffe der US-amerikanischen Geheimdienste – enthalten als das bisherige Safe Harbor-Abkommen.670 Dabei müssen auch EU-Bürgern Rechtsbehelfe gegen unberechtigte Zugriffe US-amerikanischer Behörden gewährt werden.671 Die USA hat durch den USA Freedom Act den ersten Schritt gemacht. Der USA Freedom Act schränkt die Datenzugriffsbefugnisse der US-amerikanischen Behörden ein.672 Anfang Februar 2016 haben sich Vertreter der EU-Kommission und der USA auf ein „Safe Harbor 2.0“, das sog. „EU-US Privacy Shield“, verständigt. Das EU-US Privacy Shield sieht – wie bisher das Safe Harbor-Abkommen – eine Selbstzertifizierung von US-amerikanischen Unternehmen vor. Bei Vorliegen einer Zertifizierung eines US-amerikanischen Unternehmens wird angenommen, dass bei diesem ein angemessenes Datenschutzniveau besteht.673 Allerdings sollen die Unternehmen in den USA nach dem EU-US Privacy Shield strengen Auflagen zum Schutz personenbezogener Daten europäischer Bürgerinnen und Bürger unterliegen. Das US-amerikanische Handelsministerium und die FTC werden zu intensiveren Kontroll- und Durchsetzungsmaßnahmen verpflichtet. Mit Anfragen oder Beschwerden können sich EU-Bürgerinnen 668 Lejeune,
ITRB 2015, 257 (261); Petri, DuD 2015, 801 (803). Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 670 Härting in seiner Anmerkung zu EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, CR 2015, 633 (640 f.); Petri, DuD 2015, 801 (804); Schuster / Hunzinger, CR 2015, 787 (793). 671 Hinrichs, ITRB 2015, 285 (286); Moos / Schefzig, CR 2015, 625 (633). 672 Moos / Schefzig, CR 2015, 625 (633). 673 EU-Kommission, Pressemitteilung EU-US-Datenschutzschild; EU-Kommis sion, Pressemitteilung: EU-Kommission stellt EU-US-Datenschutzschild vor; EUKommission, KOM(2016) 117 endgültig; siehe für einen ersten Überblick Schreiber / Kohm, ZD 2016, 255 ff.; Weichert, ZD 2016, 209 ff. 669 EuGH,
208
C. Auslagerung von Kunden- und Personaldaten in die Cloud
und -Bürger zukünftig an eine zu diesem Zweck eigens eingerichtete Ombudsstelle wenden.674 Die Artikel-29-Datenschutzgruppe äußerte sich am 13. April 2016 im Working Paper 238675 erstmals ausführlich über den Ende Februar 2016 vorgelegten Entwurf der EU-US Privacy Shield Adäquanzentscheidung676 der EU-Kommission und deren Anhänge677. Sie lobte zwar, dass das EU-US Privacy Shield viele Verbesserungen – insbesondere erhöhte Transparenz – im Vergleich zum Safe Harbor-Abkommen enthalte.678 Dagegen hob sie besonders drei Kritikpunkte hervor, die die EU-Kommission bei einer Überarbeitung des Entwurfs des EU-US Privacy Shield beachten solle.679 Erstens gehe aus dem Entwurf der Adäquanzentscheidung nicht eindeutig das Prinzip der Datensparsamkeit hervor, insbesondere dass Datenverarbeiter personenbezogene Daten löschen müssen, wenn die Daten nicht mehr notwendig sind.680 Zweitens werde die massenhafte Datenerhebung von personenbezogenen Daten durch US-amerikanische Behörden und Geheimdienste nicht vollständig ausgeschlossen.681 Drittens bestünden noch Bedenken gegenüber der Einführung einer Ombudsstelle, insbesondere dahingehend, ob der Ombudsperson ausreichende Kompetenzen eingeräumt werden, um ihrer Aufgabe effektiv nachgehen zu können.682 Außerdem empfahl die Artikel-29-Datenschutzgruppe der EU-Kommission aufgrund der teils unterschiedlichen Auffassungen des Datenschutzes in den USA und in Europa, Definitionen der wichtigsten Begriffe des Datenschutzes festzulegen683, die Weiterübermittlung personenbezogener Daten, die aus der EU in die USA übermittelt wurden, an Drittstaaten genauer zu regeln684 und die Adäquanzentscheidung nach In-Kraft-Treten der DS-GVO auf Überarbeitungsbedarf hin zu untersuchen685. Am 12. Juli 2016 verabschiedete die EU-Kommission die EU-US Privacy Shield Adäquanzentscheidung686, die ab diesem Zeitpunkt unmittelbar in 674 Für Details siehe EU-Kommission, Pressemitteilung EU-US-Datenschutzschild; Söbbing, ITRB 2016, 49. 675 Artikel-29-Datenschutzgruppe, WP 238. 676 EU-Kommission, KOM(2016) 117 endgültig. 677 EU-Kommission, Pressemitteilung: EU-US-Datenschutzschild. 678 Artikel-29-Datenschutzgruppe, WP 238, S. 2, 4, 57. 679 Artikel-29-Datenschutzgruppe, WP 238, S. 57. 680 Artikel-29-Datenschutzgruppe, WP 238, S. 3, 17, 57. 681 Artikel-29-Datenschutzgruppe, WP 238, S. 4, 33 ff., 57. 682 Artikel-29-Datenschutzgruppe, WP 238, S. 4, 45 ff., 57. 683 Artikel-29-Datenschutzgruppe, WP 238, S. 2 f., 12 ff., 57. 684 Artikel-29-Datenschutzgruppe, WP 238, S. 3, 20 ff., 57 f. 685 Artikel-29-Datenschutzgruppe, WP 238, S. 15, 58.
II. Datenschutzrechtliche Rechtmäßigkeit209
Kraft tritt. US-amerikanische Unternehmen können sich ab dem 1. August 2016 selbst zertifizieren.687 Die Adäquanzentscheidung regelt zwar nun – wie von der Artikel-29-Datenschutzgruppe gefordert – eindeutig das Prinzip der Datensparsamkeit. Allerdings wird weiterhin die massenhafte Datenerhebung von personenbezogenen Daten durch US-amerikanische Behörden und Geheimdienste nicht vollständig ausgeschlossen. Die Zusicherungen der Vertreter der US-amerikanischen Regierung in den Briefen an die EUKommission, die den Anhang688 der Adäquanzentscheidung bilden, sind nicht rechtsverbindlich. Es stellt sich somit die Frage, inwiefern man der Regierung, die einen der Geheimdienste unterhält, der massenhafte Datensammlung betreibt, vertrauen kann. Auch bestehen weiterhin Bedenken gegenüber der Einführung einer Ombudsstelle. Zum einen ist weiterhin fraglich, ob die Ombudsperson genügend Kompetenzen besitzt, um ihren Aufgaben effektiv nachgehen zu können. Zum anderen stellt sich die Frage nach der Unabhängigkeit der Ombudsperson, die die Regierung kontrollieren soll, der sie untersteht.689 Die Artikel-29-Datenschutzgruppe erklärte nach Verabschiedung der EUUS Privacy Shield-Adäquanzentscheidung der EU-Kommission in einer Stellungnahme690, dass die endgültige EU-US Privacy Shield-Adäquanzentscheidung zwar Verbesserungen gegenüber dem Entwurf der Adäquanzentscheidung enthalte, aber noch immer ein paar Bedenken, beispielsweise bezüglich der Unabhängigkeit und der Kompetenzen der Ombudsperson, aufwerfe. Die Artikel-29-Datenschutzgruppe werde bei der ersten jährlichen Überprüfung der Mechanismen des EU-US Privacy Shield untersuchen, ob die verbliebenen Probleme gelöst werden konnten und ob die Sicherheitsmaßnahmen zugunsten der Daten der betroffenen Personen funktionieren und effektiv sind. Diese Überprüfung könne dann auch Auswirkungen auf die Rechtmäßigkeit der EU-Standardvertragsklauseln691 und der Binding Corporate Rules692 haben.
686 EU-Kommission,
KOM(2016) 4176 endgültig. Pressemitteilung: Europäische Kommission lanciert EU-USDatenschutzschild; Spies, ZD-Aktuell 2016, 05235; eine Liste der bereits zertifizierten US-amerikanischen Unternehmen ist im Internet zu finden unter: https: // www. privacyshield.gov / list. 688 EU-Kommission, KOM(2016) 4176 endgültig Anhang. 689 So auch Börding, CR 2016, 431 (439); Brühl, Vertraut uns, wir sind Spione. 690 Artikel-29-Datenschutzgruppe, Stellungnahme zum EU-US Privacy Shield. 691 Siehe dazu C. II. 6. b) dd) (4) (b). 692 Siehe dazu C. II. 6. b) dd) (4) (c). 687 EU-Kommission,
210
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Das EU-US Privacy Shield ist nach dessen Verabschiedung – seit der Safe Harbor-Entscheidung693 des EuGH – (derzeit) wieder eine Möglichkeit, auf der zweiten Stufe eine Auslagerung an einen US-amerikanischen CloudAnbieter zu rechtfertigen. Auch wenn die Kontrolle der US-amerikanischen Unternehmen durch die FTC und die EU-Kommission nun jährlich erfolgt, werden die oben genannten Kritikpunkte aber wohl dazu führen, dass sich der EuGH in naher Zukunft auch mit der Gültigkeit der EU-US Privacy Shield-Adäquanzentscheidung beschäftigten muss.694 (3) Erlaubnistatbestände trotz unangemessenem Datenschutzniveau Gem. § 4c Abs. 1 Satz 1 BDSG ist eine Übermittlung an eine Stelle im Drittland, die ein angemessenes Datenschutzniveau nicht gewährleisten kann, zulässig, wenn der Betroffene eine Einwilligung gegeben hat (Nr. 1), die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist (Nr. 2), die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll (Nr. 3), die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist (Nr. 4), die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist (Nr. 5) oder die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind (Nr. 6). § 4c BDSG setzt Art. 26 DS-RL um.695 Die Aufzählung in § 4c Abs. 1 Satz 1 BDSG ist abschließend.696 Durch § 4c Abs. 1 Nr. 1 bis 6 BDSG sollen gewöhnliche Übermittlungsvorgänge, die keine große Gefahr für den 693 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 694 So auch Spies, ZD-Aktuell 2016, 05235; siehe ausführlich zur Einhaltung der Vorgaben des Safe Harbor-Urteils des EuGH durch das EU-US Privacy Shield Börding, CR 2016, 431 ff. 695 Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4c Rn. 1; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 1; Simitis, in: Simitis (Hrsg.), BDSG, § 4c Rn. 2; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 3. 696 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 6; Simitis, in: Simitis (Hrsg.), BDSG, § 4c Rn. 7.
II. Datenschutzrechtliche Rechtmäßigkeit211
Schutz der personenbezogenen Daten der Betroffenen darstellen, erleichtert werden.697 Die Ausnahmetatbestände müssen eng ausgelegt werden.698 Bei der Auslagerung von Kunden- und Personaldaten in die Cloud kommen in der Regel nur § 4c Abs. 1 Satz 1 Nr. 1 und Nr. 2 BDSG in Betracht. Im Hinblick auf § 4c Abs. 1 Satz 1 Nr. 1 BDSG kann großteils auf die Problematik der Einwilligung im Rahmen der ersten Prüfungsstufe verwiesen werden.699 Die Einwilligung gem. § 4c Abs. 1 Satz 1 Nr. 1 BDSG ist an den Voraussetzungen von § 4a BDSG zu messen.700 Die Einwilligung gem. § 4c Abs. 1 Satz 1 Nr. 1 BDSG unterscheidet sich von der Einwilligung im Rahmen von § 4a BDSG lediglich darin, dass sich die Einwilligung nach § 4c Abs. 1 Satz 1 Nr. 1 BDSG explizit auf einen Datentransfer in einen unsicheren Drittstaat beziehen muss. Es müssen dem Betroffenen also die Risiken dargelegt werden, die bestehen (können), wenn seine personenbezogenen Daten in ein Drittland mit unangemessenem Datenschutzniveau übermittelt werden.701 Die EuGH-Entscheidung702 vom 6. Oktober 2015 über die Unwirksamkeit von Safe Harbor hat keine Auswirkungen auf die Möglichkeit der Einwilligung in Datentransfers an Unternehmen aus unsicheren Drittstaaten.703 Die Einwilligung ist bei der Auslagerung von Kunden- bzw. Personaldaten in die Cloud allerdings nicht besonders praktikabel.704 Dasselbe gilt für die Einwilligung in die Auslagerung der personenbezogenen Daten an einen Cloud-Anbieter aus einem Drittstaat mit unangemessenem Datenschutz niveau.705 697 Gola / Schomerus, BDSG, § 4c Rn. 4; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 4; Simitis, in: Simitis (Hrsg.), BDSG, § 4c Rn. 1; Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 1. 698 Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 5; Busche, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, S. 69. 699 Siehe dazu im Detail C. II. 3. 700 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4c Rn. 5; Thomale, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG, § 4c Rn. 2; Simitis, in: Simitis (Hrsg.), BDSG, § 4c Rn. 8; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 6. 701 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 7; Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 6; Selzer, DuD 2014, 470 (472 f.). 702 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 703 Bergt in seiner Anmerkung zu EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 (762); EUKommission, KOM(2015) 566 endgültig; Lejeune, ITRB 2015, 257 (259); Moos / Schefzig, CR 2015, 625 (632); Schuster / Hunzinger, CR 2015, 787 (789); a. A. ULD, Positionspapier zu C-362 / 14. 704 Siehe dazu C. II. 3. h). 705 Hinrichs, ITRB 2015, 285 (287); Petri, DuD 2015, 801 (805); Räther, DuD 2005, 461 (464); Selzer, DuD 2014, 470 (473).
212
C. Auslagerung von Kunden- und Personaldaten in die Cloud
Das zentrale Tatbestandsmerkmal des § 4c Abs. 1 Satz 1 Nr. 2 BDSG ist die Erforderlichkeit der Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle. Es muss erforderlich sein, die Daten an eine Stelle im Drittland zu übermitteln.706 Auch nach dem Safe Harbor-Urteil707 des EuGH kann eine Übermittlung an einen unsicheren Drittstaat gem. § 4c Abs. 1 Satz 1 Nr. 2 BDSG grundsätzlich erfolgen.708 Es ist aber für das Unternehmen nicht erforderlich, die personenbezogenen Daten der Kunden bzw. Arbeitnehmer an einen CloudAnbieter aus einem unsicheren Drittstaat zu übertragen. Das Unternehmen kann die Daten an einen deutschen Cloud-Anbieter oder an einen CloudAnbieter aus einem sicheren Drittstaat auslagern. Die Erforderlichkeit der Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle gem. § 4c Abs. 1 Satz 1 Nr. 2 BDSG ist somit bei der Auslagerung von Kunden- bzw. Personaldaten an einen Cloud-Anbieter aus einem Drittstaat mit unangemessenem Datenschutz niveau nicht gegeben.709 (4) Angemessene Garantien Ist auch der Tatbestand des § 4c Abs. 1 BDSG nicht gegeben, kann gem. § 4c Abs. 2 Satz 1 Halbsatz 1 BDSG die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 BDSG genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist. Die Garantien können sich dabei gem. § 4c Abs. 2 Satz 1 Halbsatz 2 BDSG insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. (a) Genehmigung durch die zuständige Aufsichtsbehörde Die Aufsichtsbehörden können Ausnahmegenehmigungen erteilen, wenn die verantwortliche Stelle das fehlende Datenschutzniveau im Drittstaat durch eigene Maßnahmen ausgleicht. Stellt die Aufsichtsbehörde bei der Prüfung allerdings fest, dass das Datenschutzniveau nicht ausreichend ist, 706 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 9; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 7; Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 13. 707 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 708 Lejeune, ITRB 2015, 257 (259); Schuster / Hunzinger, CR 2015, 787 (789). 709 So auch Selzer, DuD 2014, 470 (473).
II. Datenschutzrechtliche Rechtmäßigkeit213
muss sie die Genehmigung versagen.710 Genehmigungsgegenstand sind einzelne Übermittlungen bzw. bestimmte Arten von Übermittlungen.711 Der Begriff der „Arten von Übermittlungen“ ist dabei weit gefasst. Es können auch ganze Bereiche wie „Personaldaten“ oder „Kundendaten“ erfasst sein.712 Regelmäßige und wiederkehrende Datenübermittlungen können im Rahmen eines Genehmigungsverfahrens kategorisierend nach Art der Daten zusammengefasst werden.713 Grundsätzlich kann die zuständige Aufsichtsbehörde also den Transfer von Kunden- bzw. Personaldaten des deutschen Unternehmens an einen USamerikanischen Cloud-Anbieter auf der zweiten Prüfungsstufe genehmigen, wenn dieser nachweisen kann, dass er Maßnahmen getroffen hat, um ein angemessenes Datenschutzniveau herzustellen. Aufgrund der Enthüllungen von Edward Snowden und im Nachgang des Urteils714 des EuGH, der das Safe Harbor-Abkommen für ungültig erklärt hat, genehmigen deutsche Aufsichtsbehörden derzeit keine Datentransfers eines deutschen Unternehmens an einen US-amerikanischen Cloud-Anbieter mehr.715 Andere Möglichkeiten, wie EU-Standardvertragsklauseln oder Binding Corporate Rules, bestehen aber fort. Es wird sich zeigen, ob die deutschen Aufsichtsbehörden nach Verabschiedung des EU-US Privacy Shield Datentransfers an US-amerikanische Unternehmen wieder genehmigen werden. (b) EU-Standardvertragsklauseln EU-Standardvertragsklauseln werden zwischen einer verantwortlichen Stelle im EU- bzw. EWR-Inland und einem Auftragsdatenverarbeiter aus einem Drittland geschlossen.716 Sie regeln die Rechte und Pflichten, die die an dem Datentransfer beteiligten Personen und Stellen beachten müssen. Werden die EU-Standardvertragsklauseln, die die EU-Kommission gestützt 710 Gola / Schomerus, BDSG, § 4c Rn. 1; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 20. 711 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4c Rn. 15; Gola / Schomerus, BDSG, § 4c Rn. 1. 712 Däubler, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 4c Rn. 15; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 22. 713 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 22. 714 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 715 DSK, Positionspapier zu C-362 / 14. 716 Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und CloudComputing, S. 1229 f. Rn. 73; Schmidt-Bens, Cloud Computing Technologien und Datenschutz, S. 59.
214
C. Auslagerung von Kunden- und Personaldaten in die Cloud
auf Art. 26 Abs. 4 DS-RL zur Verfügung stellt, verwendet, bedarf es keiner zusätzlichen Genehmigung der zuständigen Aufsichtsbehörde, um einen rechtskonformen Datentransfer in einen Drittstaat mit unangemessenem Datenschutzniveau durchzuführen.717 Die EU-Standardvertragsklauseln dürfen nicht durch die Cloud-Anbieter abgeändert werden, damit keine zusätzliche Genehmigung erforderlich ist.718 Die Cloud-Anbieter dürfen die EUStandardvertragsklauseln nur ergänzen, wenn diese Ergänzungen den EUStandardvertragsklauseln nicht widersprechen.719 Es gibt drei Versionen der EU-Standardvertragsklauseln: die allgemeinen Standardvertragsklauseln (Set I)720, alternative allgemeine Standardvertragsklauseln (Set II)721 und spezielle Klauseln für die Übermittlung an Auftragsdatenverarbeiter aus „unsicheren Drittstaaten“722. Die allgemeinen Standardvertragsklauseln und die alternativen allgemeinen Standardvertragsklauseln werden bei „gewöhnlichen“ Übermittlungen von einer verantwortlichen Stelle an eine andere verantwortliche Stelle aus einem Drittstaat verwendet. Die Vertragsparteien benutzen die speziellen Klauseln für die Übermittlung an Auftragsdatenverarbeiter aus unsicheren Drittstaaten, wenn sie Daten an Datenverarbeitungsdienstleister transferieren, die aufgrund von Weisungen tätig werden.723 Alle drei Sets der Stan717 Gola / Schomerus, BDSG, § 4c Rn. 12; v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 29; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 22; Moos, CR 2010, 281 f.; Wybitul / Patzak, RDV 2011, 11 (15). 718 Gola / Schomerus, BDSG, § 4c Rn. 14; Simitis, in: Simitis (Hrsg.), BDSG, § 4c Rn. 51; Niemann, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 89 Rn. 82; Rath / Rothe, K&R 2013, 623 (626); Räther, DuD 2005, 461 (463). 719 Niemann, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing, S. 89 Rn. 82; Rath / Rothe, K&R 2013, 623 (626). 720 EG-Kommission, Entscheidung 2001 / 497 / EG vom 16.06.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95 / 46 / EG, ABl. EG Nr. L 181 vom 04.07.2001, S. 19. 721 EG-Kommission, Entscheidung 2004 / 915 / EG vom 27.12.2004 zur Änderung der Entscheidung 2001 / 497 / EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, ABl. EG Nr. L 385 vom 29.12.2004, S. 74. 722 EG-Kommission, Entscheidung 2002 / 16 / EG vom 27.12.2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländern nach der Richtlinie 95 / 46 / EG, ABl. EG Nr. L 6 vom 10.01.2002, S. 52; Abänderung durch EG-Kommission, Beschluss 2010 / 87 / EU vom 05.02.2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95 / 46 / EG, ABl. EG Nr. L 39 vom 12.02.2010, S. 5. 723 Hoeren, RDV 2012, 271 (274); Moos, CR 2010, 281 (282); Wybitul / Patzak, RDV 2011, 11 (15).
II. Datenschutzrechtliche Rechtmäßigkeit215
dardvertragsklauseln sind weitgehend identisch aufgebaut. Sie enthalten einen Mustervertragstext, in dem die Rechte und Pflichten der beteiligten Stellen festgelegt werden, und zwei Anhänge, in denen auf die individuellen Besonderheiten und Details der Vertragsparteien eingegangen wird.724 Es gibt eine Konstellation, in der die EU-Standardvertragsklauseln für Auftragsdatenverarbeiter nicht eingesetzt werden können. Die EU-Standardvertragsklauseln finden keine Anwendung, wenn der Auftragnehmer einer Auftragsdatenverarbeitung innerhalb der EU bzw. des EWR angesiedelt ist, der Unterauftragnehmer aber in einem unsicheren Drittstaat.725 Dann kann eine Unterauftragsdatenverarbeitung auf Basis der EU-Standardvertragsklauseln nur erfolgen, wenn zwischen Auftraggeber und Unterauftragnehmer direkt ein derartiger Vertrag vereinbart wird.726 Fraglich ist allerdings, ob die EU-Standardvertragsklauseln für die Übermittlung an US-amerikanische Unternehmen nach der Entscheidung727 des EuGH über die Ungültigkeit des Safe Harbor-Abkommens genutzt werden können.728 Zwar prüfte der EuGH in dieser Entscheidung nur die Wirksamkeit des Safe Harbor-Abkommens und nicht auch die Wirksamkeit der EUStandardvertragsklauseln. Allerdings leiden die EU-Standardvertragsklauseln an denselben formalen und inhaltlichen Mängeln – nämlich der Gefahr von unberechtigten Zugriffen auf personenbezogene Daten durch US-amerika nische Behörden und Geheimdienste und dem Fehlen eines gerichtlichen Rechtsschutzes für die betroffenen Personen – wie das Safe Harbor-Abkommen. Es ist damit zu rechnen, dass auch die EU-Standardvertragsklauseln in naher Zukunft als ungültig erklärt werden könnten.729 Die irische Daten724 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 28; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 23; Simitis, in: Simitis (Hrsg.), BDSG, § 4c Rn. 53; Lejeune, ITRB 2015, 257 f. 725 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 32; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 26; Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 55; ausführlich dazu Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 267 ff.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 163 f. 726 v. d. Bussche, in: Plath (Hrsg.), BDSG, § 4c Rn. 32; Gabel, in: Taeger / Gabel (Hrsg.), BDSG, § 4c Rn. 26; Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 55; ausführlich dazu Barnitzke, Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, S. 270 ff.; Jotzo, Der Schutz personenbezogener Daten in der Cloud, S. 163 f. 727 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 728 Diese Frage stellt auch DSK, Positionspapier zu C-362 / 14. 729 Bergt in seiner Anmerkung zu EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 (762); Le
216
C. Auslagerung von Kunden- und Personaldaten in die Cloud
schutzbehörde möchte die EU-Standardvertragsklauseln gerichtlich überprüfen lassen. Die Behörde geht davon aus, dass – wie schon beim Safe Harbor-Abkommen – letztlich der EuGH die Überprüfung durchführen wird.730 Somit sind die EU-Standardvertragsklauseln (derzeit noch) ein praktikables Instrument für Datentransfers europäischer Unternehmen an US-amerikanische Unternehmen.731 Allerdings setzte die Artikel-29-Datenschutzgruppe Übermittlungen in die USA basierend auf den EU-Standardvertragsklauseln eine Frist bis zum Abschluss der vollständigen Auswertung des EU-US Privacy Shield,732 die sie bis zur ersten jährlichen Überprüfung des EU-US Privacy Shield verlängert hat.733 (c) Binding Corporate Rules (BCR) Bei der Auslagerung von Kunden- und Personaldaten eines deutschen kleinen oder mittelständischen Unternehmens an einen Public Cloud-Anbieter kommt die Verwendung von Binding Corporate Rules (BCR) nicht in Betracht, da der Cloud-Anbieter und das Unternehmen nicht demselben Konzern angehören werden. BCR sind verbindliche, konzernintern abgeschlossene Unternehmensrichtlinien. BCR binden alle einbezogenen Unternehmen in Form eines Gruppenvertrags und schaffen verbindliche Datenschutzstandards für alle Teilnehmer. Bei den BCR besteht ein geringeres Standardisierungsniveau als bei den EU-Standardvertragsklauseln. Deshalb ist bei Verabschiedung von BCR immer die Genehmigung aller zuständigen Aufsichtsbehörden einzuholen. Gegenüber den EU-Standardvertragsklauseln haben die BCR den Vorteil einer sehr hohen Flexibilität.734 jeune, ITRB 2015, 257 (259 f.); Moos / Schefzig, CR 2015, 625 (631 f.); Petri, DuD 2015, 801 (805); Piltz, K&R 2016, 1 (6); Schuster / Hunzinger, CR 2015, 787 (788). 730 Redaktion beck-aktuell, becklink 2003403. 731 So auch Bergt in seiner Anmerkung zu EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 (762); Hinrichs, ITRB 2015, 285 (288); Moos / Schefzig, CR 2015, 625 (631); a. A. ULD, Positionspapier zu C-362 / 14. 732 Artikel-29-Datenschutzgruppe, Stellungnahme zu den Konsequenzen des Schrems-Urteils; Redaktion beck-aktuell, becklink 2002354. 733 Artikel-29-Datenschutzgruppe, Stellungnahme zum EU-US Privacy Shield. 734 Schantz, in: Wolff / Brink (Hrsg.), BDSG, § 4c Rn. 56 f.; Borges, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch, S. 348 ff. Rn. 198 ff.; Bräutigam / Thalhofer, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 1233 ff. Rn. 78 ff.; Brennscheidt, Cloud Computing und Datenschutz, S. 173 f.; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des
II. Datenschutzrechtliche Rechtmäßigkeit217
Die BCR unterliegen nach dem Urteil735 des EuGH in der Rechtssache Max Schrems denselben Bedenken wie die EU-Standardvertragsklauseln. Auch im Rahmen von BCR kann es zu unberechtigten Zugriffen von USamerikanischen Behörden auf personenbezogene Daten kommen.736 Übermittlungen auf Basis von BCR setzte die Artikel-29-Datenschutzgruppe eine Frist bis zum Abschluss der vollständigen Auswertung des EU-US Privacy Shield,737 die sie ebenso – wie die Frist für eine Entscheidung über die Rechtmäßigkeit der EU-Standardvertragsklauseln – bis zur ersten jährlichen Überprüfung des EU-US Privacy Shield verlängert hat.738 ee) Eingeschränkte Möglichkeit des datenschutzkonformen Auslagerns der Kunden- und Personaldaten in die USA Bei einer Auslagerung von Kunden- bzw. Personaldaten im Rahmen einer Übermittlung wird das Unternehmen zusammen mit dem US-amerikanischen Cloud-Anbieter die hohen Anforderungen, die die Interessenabwägung im Rahmen von § 28 Abs. 1 Satz 1 Nr. 2 BDSG an die Übermittlung stellt, oft nicht erfüllen. Außerdem ist im Rahmen einer Übermittlung die Auslagerung von sensiblen Daten an einen US-amerikanischen Cloud-Anbieter nicht rechtskonform möglich. Im Rahmen einer Auftragsdatenverarbeitung ist hingegen die Auslagerung von Kunden- bzw. Personaldaten eines deutschen Unternehmens an einen US-amerikanischen Cloud-Anbieter möglich. Dabei dürfen sogar sensible Daten ausgelagert werden. Die Rechtmäßigkeit eines Transfers von Kunden- bzw. Personaldaten in die USA kann auf der zweiten Stufe der Rechtmäßigkeitsprüfung nicht mehr auf das Safe Harbor-Abkommen gestützt werden. Allerdings können jetzt Transfers durch das EU-US Privacy Shield gerechtfertigt werden. ff) Datentransfers auf europäische Server von US-amerikanischen Cloud-Anbietern US-amerikanische Cloud-Anbieter kennen die Problematik der Rechtmäßigkeit von Datentransfers auf der zweiten Prüfungsstufe. Deswegen müssen Mittelstands, S. 354 ff.; Hoeren, RDV 2012, 271 (274 f.); Lejeune, ITRB 2015, 257 (258); Selzer, DuD 2014, 470 (474). 735 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 736 Moos / Schefzig, CR 2015, 625 (632); Petri, DuD 2015, 801 (805); Schuster / Hunzinger, CR 2015, 787 (789). 737 Artikel-29-Datenschutzgruppe, Stellungnahme zu den Konsequenzen des Schrems-Urteils; Redaktion beck-aktuell, becklink 2002354. 738 Artikel-29-Datenschutzgruppe, Stellungnahme zum EU-US Privacy Shield.
218
C. Auslagerung von Kunden- und Personaldaten in die Cloud
sie Möglichkeiten finden, wie ein deutsches Unternehmen personenbezogene Daten rechtskonform an einen Cloud-Anbieter mit Sitz in den USA übertragen kann. Die einfachste Möglichkeit, auf die auch schon viele der großen Anbieter zurückgegriffen haben, ist der Aufbau von Rechenzentren innerhalb der EU bzw. des EWR: Die Cloud-Anbieter bieten ihren Kunden an, dass die personenbezogenen Daten nur auf Servern innerhalb der EU bzw. des EWR verarbeitet und gelagert werden (sog. „europäische Availability Zones“).739 Finden die Datenverarbeitungen innerhalb der EU bzw. des EWR statt, ist auf die Verarbeitungen das Datenschutzrecht des Mitgliedstaats der EU bzw. des Vertragsstaats des EWR anwendbar, in dem der Cloud-Anbieter eine Niederlassung hat bzw. in dem die Datenverarbeitung stattfindet. Allerdings besteht auch bei Serverfarmen von US-amerikanischen CloudAnbietern in der EU bzw. EWR die Gefahr, dass US-amerikanische Geheimdienste auf die dort gespeicherten personenbezogenen Daten europäischer Bürger zugreifen.740 Zwar gilt der völkerrechtliche Grundsatz der Gebiets- und Personalhoheit, der besagt, dass die USA nur Hoheitsbefugnisse innerhalb ihrer Staatsgrenzen bzw. über ihre Staatsangehörigen und Staatszugehörigen haben.741 Die US-Gerichte legen die Zugriffsnormen aber sehr weit und extraterritorial aus.742 Somit können US-amerikanische Behörden Herausgabeanordnungen auch im Hinblick auf Daten erwirken, die auf europäischen Servern gespeichert sind. Ausreichend für die Herausgabeanordnung ist dabei bereits die faktische Zugriffsmöglichkeit.743 Die Gefahr, dass die US-amerikanischen Behörden auch auf personenbezogene Daten von EU-Bürgern auf Servern eines US-amerikanischen Unternehmens innerhalb der EU bzw. des EWR zugreifen können, zeigt der Prozess, den Microsoft vor dem Bezirksgericht des Southern District of New York (SDNY) geführt hat. In der Entscheidung744 des Bezirksgerichts wird Microsoft dazu verpflichtet, Daten herauszugeben, die in der EU belegen sind. Microsoft legte Berufung gegen diesen Beschluss ein.745 Das Beru739 Becker / Nikolaeva, CR 2012, 170; Lejeune, ITRB 2015, 257 (260); Schuster / Hunzinger, CR 2015, 787 (790). 740 Lejeune, CR 2013, 755 (756); Lejeune, ITRB 2015, 257 (260); Schuster / Hunzinger, CR 2015, 787 (790); Voigt / Klein, ZD 2013, 16 (17). 741 Becker / Nikolaeva, CR 2012, 170 (171); Voigt / Klein, ZD 2013, 16 (17). 742 Lejeune, CR 2013, 755 (756); Voigt, MMR 2014, 158 (159); Voigt / Klein, ZD 2013, 16 (17). 743 Becker / Nikolaeva, CR 2012, 170 (172); Voigt / Klein, ZD 2013, 16 (17). 744 Bezirksgericht des Southern District of New York (SDNY), Entscheidung (Richter James C. Francis IV, US Magistrate Judge) vom 25.04.2014 – 13 Mag. 2814, ZD 2014, 346 ff.; Rath / Kuß / Maiworm, CR 2016, 98 (99).
II. Datenschutzrechtliche Rechtmäßigkeit219
fungsgericht hat zwar inzwischen festgestellt, dass sich Microsoft zu Recht geweigert hat, die Daten herauszugeben und die Anordnung der Vorinstanz aufgehoben. Es wird aber erwartet, dass die US-Regierung bis vor den US Supreme Court ziehen wird, um die Herausgabeanordnung durchzusetzen.746 Eine Möglichkeit, einer solchen Herausgabeverpflichtung zu entgehen, ist der Einsatz von Treuhändern. So arbeitet Microsoft in Deutschland zukünftig mit der Telekom zusammen. Wenn dies von den deutschen Cloud-Nutzern gewünscht wird, werden deren personenbezogene Daten ausschließlich in den von der Telekom als Treuhänder betriebenen Rechenzentren verarbeitet. Die Telekom soll dabei die physische Hoheit über die Daten haben. Eine Übertragung an eigene Rechenzentren von Microsoft soll nicht stattfinden. Auf diese Weise soll verhindert werden, dass US-amerikanische Behörden Microsoft zur Herausgabe der Daten auf den in den Rechenzen tren der Telekom stehenden Servern zwingen können.747 c) Eingeschränkte Möglichkeit der datenschutzkonformen Auslagerung von Kunden- bzw. Personaldaten auf internationale Cloud-Anbieter Das Unternehmen kann grundsätzlich rechtskonform die Kunden- bzw. Personaldaten an einen Cloud-Anbieter mit Sitz in der EU bzw. dem EWR übermitteln oder im Rahmen einer Auftragsdatenverarbeitung übertragen. Eine Übermittlung an einen US-amerikanischen Cloud-Anbieter scheitert aber in den meisten Fällen auf der ersten Prüfungsstufe an den hohen Anforderungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Bei einer Auslagerung an einen US-amerikanischen Cloud-Anbieter im Rahmen einer Auftragsdatenverarbeitung ergibt dagegen die Prüfung auf der ersten Stufe, dass die Auslagerung rechtskonform möglich ist. Auf der zweiten Prüfungsstufe kommen derzeit die nicht sehr praktikable Einwilligung der Kunden bzw. Arbeitnehmer in den Drittstaattransfer, das EU-US Privacy Shield und die EU-Standardvertragsklauseln in Betracht.
745 Second Circuit, Microsoft Corporation v. United States of America, 14-2985cv; Kirsch, Microsoft verteidigt Daten in Europa gegen US-Zugriff; Rath / Kuß / Maiworm, CR 2016, 98 (99). 746 Binsch / Tanriverdi, Microsoft kann europäische Kundendaten vor US-Zugriff schützen; Briegleb, Urteil: Microsoft muss Daten aus EU-Rechenzentrum nicht der US-Regierung übergeben. 747 Briegleb, Microsoft: Deutsche Rechenzentren für Daten in der Cloud; Hinrichs, ITRB 2015, 285 (290); Lejeune, ITRB 2015, 257 (260); Schuster / Hunzinger, CR 2015, 787 (791); eine ausführliche Analyse findet sich bei Rath / Kuß / Maiworm, CR 2016, 98 ff.
220
C. Auslagerung von Kunden- und Personaldaten in die Cloud
d) Datenübermittlung und Auftragsdatenverarbeitung im internationalen Kontext gem. DS-GVO Im Hinblick auf die grenzüberschreitende Übermittlung von Daten ändert sich durch die DS-GVO wenig. Die DS-GVO harmonisiert Datentransfers zwischen den Mitgliedstaaten der EU. Bei Datentransfers innerhalb der EU bedarf es eines Erlaubnistatbestandes nach Art. 6 Abs. 1 DS-GVO. Es müssen keine weiteren Voraussetzungen erfüllt sein. Bei Datentransfers an Drittstaaten gilt wie bisher die Zwei-Stufen-Regelung. Zunächst ist die rechtliche Zulässigkeit des Datentransfers an sich zu prüfen, danach, ob ein angemessenes Datenschutzniveau im Drittstaat vorherrscht.748 Art. 44 ff. DS-GVO regeln, wann ein angemessenes Datenschutzniveau im Drittstaat vorliegt. Dieses ist dann angemessen, wenn die EU-Kommission die Angemessenheit festgestellt hat oder EU-Standardvertragsklauseln oder BCR vorliegen.749 Neu ist bei der Übermittlung an Drittstaaten die sog. „Anti-FISAKlausel“750 gem. § 48 DS-GVO, nach der Gerichtsurteile und Entscheidungen von Verwaltungsbehörden aus einem Drittstaat, die die Übermittlung personenbezogener Daten verlangen, außerhalb eines Amtshilfeersuchens oder internationaler Abkommen weder anerkannt noch vollstreckt werden. Wie bereits angesprochen751, gibt es eine § 3 Abs. 8 Satz 3 BDSG entsprechende Regelung in der DS-GVO nicht. Teilweise wird angenommen, dass es unter Geltung der DS-GVO keine Privilegierungswirkung der Auftragsdatenverarbeitung mehr gebe und somit immer eine Übermittlung nötig sei.752 Die DS-RL regelt bislang, dass sogar eine Auftragsdatenverarbeitung mit einem Auftragsdatenverarbeiter in einem Drittstaat privilegiert werden könne. Eine Änderung der Privilegierungswirkung der Auftragsdatenverarbeitung durch EU-Kommission, EU-Parlament oder Rat der EU ist nicht gewünscht. Wenn jede Weitergabe zwischen Auftraggeber und Auftragnehmer eine Übermittlung wäre, wären die Regelungen zu der Auftragsdatenverarbeitung überflüssig.
748 Ehmann (Hrsg.), ZD 2015, 6 (8); Kort, DB 2016, 711 (716); Nebel / Richter, ZD 2012, 407 (412); Roßnagel / Kroschwald, ZD 2014, 495 (498). 749 Härting, DS-GVO, S. 44 f. Rn. 168 f.; Ehmann (Hrsg.), ZD 2015, 6 (9). 750 Krempl, EU-Datenschutzreform: Industrie lehnt Klausel gegen NSA-Spionage ab. 751 Siehe dazu C. II. 5. h). 752 Härting, ITRB 2016, 137 (138 f.); Nebel / Richter, ZD 2012, 407 (411).
II. Datenschutzrechtliche Rechtmäßigkeit221
7. Rechtskonformität der Auslagerung von Kunden- bzw. Personaldaten in die Cloud nach dem BDSG Das deutsche Unternehmen kann die personenbezogenen Daten seiner Kunden und Arbeitnehmer grundsätzlich datenschutzkonform an einen deutschen, einen europäischen oder einen US-amerikanischen Cloud-Anbieter auslagern. Als Rechtfertigung der Datenübertragung kann eine Einwilligung der Kunden bzw. Arbeitnehmer dienen. Allerdings ist die Einwilligung oft nicht praktikabel. Im Rahmen des Beschäftigungsverhältnisses kann die Auslagerung der Personaldaten durch eine Betriebsvereinbarung gerechtfertigt sein. Auf diesem Weg ist aber nur die Auslagerung von nicht sensiblen Daten der Arbeitnehmer möglich. Die Auslagerung kann auch als Übermittlung durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG gerechtfertigt werden. Dabei dürfen aber auch keine sensiblen Daten übertragen werden. Außerdem besteht bezüglich der Rechtmäßigkeit einer Übermittlung der Daten aufgrund der Interessenabwägung Rechtsunsicherheit. Daher ist dem Unternehmen anzuraten, die Auslagerung als privilegierte Auftragsdatenverarbeitung auszugestalten. Die Rechtmäßigkeit eines Datentransfers in einen Drittstaat kann derzeit im Hinblick auf die Erfordernisse der zweiten Prüfungsstufe durch eine Einwilligung, das EU-US Privacy Shield oder die Nutzung der EU-Standardvertragsklauseln erreicht werden.
D. Auslagerung von Mandantendaten in die Cloud durch Rechtsanwaltskanzleien Cloud Computing kann bei einem kleinen und mittelständischen Unternehmen zu einer Kostenreduzierung führen. Auch kann ein solches Unternehmen durch den Einsatz von Cloud Computing ein Sicherheitsniveau erlangen, das es durch eine eigene interne IT-Abteilung nicht erreichen könnte. Ein weiterer Vorteil ist, dass sich das Unternehmen durch den Einsatz von Cloud-Diensten auf seine Kernkompetenzen konzentrieren kann. Auch für Anwaltskanzleien kann der Einsatz von Cloud-Diensten für das Mandantenmanagement interessant sein.
I. Anwendbares Datenschutzrecht 1. Vorrang der Bundesrechtsanwaltsordnung (BRAO) bzw. der Berufsordnung für Rechtsanwälte (BORA) § 43a Abs. 2 BRAO und § 2 BORA enthalten als anwaltliches Berufsrecht eine Schweigepflicht im Hinblick auf Mandantendaten. Diese Schweigepflicht betrifft alle Daten, die im Mandantenumgang anfallen. Die Schweigepflicht betrifft auch personenbezogene Daten i. S. d. BDSG und hat eine sehr große Reichweite.1 Der Anwalt wird im Anwalt-Mandanten-Verhältnis zum „Datenschützer […] zu Gunsten seines Mandanten“2. Der Mandant ist dabei der „Herr des Geheimnisses“. Die anwaltliche Schweigepflicht umfasst alle Geheimnisse, auch Daten von juristischen Personen und nicht personenbezogene Daten.3 Das BDSG bezieht sich gem. § 1 Abs. 2 BDSG nur auf personenbezogene Daten. Das Datenschutzrecht verfolgt das Ziel, das informationelle Selbstbestimmungsrecht der Betroffenen zu schützen, unabhängig davon, ob diese Personen Mandanten oder Dritte sind.4 Die 1 Gola / Schomerus, BDSG, § 1 Rn. 25; Dix, in: Simitis (Hrsg.), BDSG, § 1 Rn. 175. 2 Wicker, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, S. 264; Kroschwald / Wicker, CR 2012 758 (759); Rüpke, NJW 2008, 1121. 3 BGH, Urteil vom 30.11.1989 – III ZR 112 / 88, NJW 1990, 510 (511 f.). 4 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 736 f.
I. Anwendbares Datenschutzrecht223
Schweigepflicht im anwaltlichen Berufsrecht und das Datenschutzrecht haben zwei unterschiedliche Schutzrichtungen, die sich teilweise überschneiden.5 Zwischen den beiden Schutzrichtungen sind in gewissen Fällen Interessenkollisionen denkbar, wenn beispielsweise der Anwalt Informationen über Dritte erhält. Auf der einen Seite muss der Anwalt die Betroffenenrechte des Dritten nach dem BDSG einhalten, auf der anderen Seite muss er die Schweigepflicht gegenüber seinem Mandanten erfüllen. Es fragt sich, in welchem Verhältnis das anwaltliche Berufsrecht und das BDSG zueinander stehen.6 Einer Ansicht nach7 müsse § 1 Abs. 3 BDSG so ausgelegt werden, dass das BDSG subsidiär sei und auf Mandantendaten und personenbezogene Daten Dritter, die der Rechtsanwalt im Zusammenhang mit dem Mandat erfahren habe, keine Anwendung finde. Für die Anwendbarkeit des BDSG in der Anwaltschaft verblieben damit nur noch Personaldaten und Lieferantendaten. Die geringe Regelungsdichte von § 43a Abs. 2 BRAO spreche zwar dafür, dass ein einziger Paragraph der BRAO nicht die Regelungen des kompletten BDSG ersetzen könne. Auch verleite § 203 StGB zu dem Missverständnis, dass das Anwaltsgeheimnis auf die gleiche Stufe wie beispielsweise das Berufsgeheimnis eines Tierarztes zu stellen sei. Doch unterscheide sich verfassungsrechtlich gesehen das Anwaltsgeheimnis grundlegend von allen anderen Berufsgeheimnissen. Dies liege darin begründet, dass sich das Anwaltsgeheimnis unmittelbar aus dem Rechtsstaatsprinzip herleiten lasse. Das berufliche Tätigwerden des Rechtsanwalts, der ein Organ der Rechtspflege sei, liege im Interesse der Allgemeinheit. Das Tätigwerden für die Allgemeinheit setze ein Vertrauensverhältnis voraus. Dieses Vertrauensverhältnis, das aus dem Rechtsstaatsprinzip abgeleitet werde, solle nicht durch die weniger strikten Normen des BDSG unterlaufen werden. Einer anderen Ansicht nach8 gingen einzelne Vorschriften des anwaltlichen Berufsrechts (u. a. § 43a Abs. 2 BRAO, § 2 BORA und § 203 Abs. 1 Nr. 3 StGB) dem BDSG aufgrund von § 1 Abs. 3 Satz 1 BDSG vor. So enthalte § 43a Abs. 2 BRAO ein vorrangiges Übermittlungsverbot, das dem BDSG vorgehe. Bezogen auf die Verschwiegenheitspflicht des Rechtsanwalts seien nur die berufsrechtlichen Vorschriften der Anwaltschaft anwendbar, nicht aber das BDSG. 5 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 736 f.; Kroschwald / Wicker, CR 2012 758 (759); Leutheusser-Schnarrenberger, Anwbl. 2012, 477. 6 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 737; Kroschwald / Wicker, CR 2012 758 (759); Redeker, NJW 2009, 554 (555). 7 Härting, ITRB 2009, 138 f.; Härting, ITRB 2004, 279 f. 8 Rüpke, NJW 2008, 1121 (1122).
224
D. Auslagerung von Mandantendaten in die Cloud
Nach h. M.9 ist mangels Deckungsgleichheit der Schutzzwecke von anwaltlichem Berufsrecht und BDSG keine Tatbestandskongruenz gegeben. Eine Tatbestandskongruenz sei gem. § 1 Abs. 3 Satz 1 BDSG Voraussetzung dafür, dass ein Spezialgesetz dem BDSG vorgehe. Ein einzelner Absatz der BRAO (§ 43a Abs. 2 BRAO) und ein einzelner darauf basierter Paragraph der BORA (§ 2 BORA) könnten nicht den ganzen Regelungsbereich des BDSG ersetzen. Der h. M. ist zu folgen. BRAO und BORA enthalten keine umfangreichen Regelungen zum Schutz der Mandantendaten. Wenige Normen, wie § 43a Abs. 2 BRAO und § 2 BORA, die den Datenschutz von Mandantendaten regeln, können nicht die umfangreichen Normen des BDSG bei der Verarbeitung personenbezogener Daten ersetzen. Einer Subsidiarität des BDSG i. S. v. § 1 Abs. 3 Satz 1 BDSG bedarf es auch nicht, um das Vertrauensverhältnis zwischen Mandant und Anwalt zu schützen. Für den Schutz des Vertrauensverhältnisses ist es vielmehr erforderlich, dass das BDSG und die berufsrechtlichen Normen nebeneinander anwendbar sind. Somit regelt nicht § 1 Abs. 3 Satz 1 BDSG, sondern § 1 Abs. 3 Satz 2 BDSG das Verhältnis zwischen anwaltlichem Berufsrecht und BDSG. Die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, bleibt somit gem. § 1 Abs. 3 Satz 2 BDSG unberührt. Das „Unberührtbleiben“ bedeutet, dass grundsätzlich anwaltliches Berufsrecht und BDSG nebeneinander gelten.10 Im Ergebnis muss bei der Auslagerung von Mandantendaten in die Cloud somit das BDSG als Mindeststandard eingehalten werden, darüber hinaus muss die Zulässigkeit der Auslagerung an den strengeren Normen des anwaltlichen Berufsrechts gemessen werden.11 9 KG Berlin, Beschluss vom 20.08.2010 – 1 Ws (B) 51 / 07, CR 2011, 187; Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 37; Dix, in: Simitis (Hrsg.), BDSG, § 1 Rn. 170; Dobmeier, Datenschutz in der Anwaltskanzlei, S. 36 f.; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 185 ff. Rn. 6 ff.; Vander, ZD 2013, 492 (494); Weichert, NJW 2009, 550 (551). 10 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 737; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 185 f. Rn. 6; Redeker, NJW 2009, 554 (556); Weichert, NJW 2009, 550 (551). 11 Gola / Schomerus, BDSG, § 1 Rn. 25; Plath, in: Plath (Hrsg.), BDSG, § 1 Rn. 39; Dix, in: Simitis (Hrsg.), BDSG, § 1 Rn. 175; Wicker, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, S. 265; Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 738; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 185 ff. Rn. 6 ff.; Conrad / Fechtner, CR 2013, 137 (138); Kroschwald / Wicker, CR 2012 758 (759).
II. Datenschutzrechtliche Rechtmäßigkeit225
Die Normen des BDSG bleiben somit auf die Auslagerung von Mandantendaten in die Cloud anwendbar. Allerdings wird der Schutz des BDSG im Hinblick auf personenbezogene Daten, die der Verschwiegenheitspflicht unterliegen, durch die höheren Anforderungen des anwaltlichen Berufsrechts ergänzt. 2. Normadressat Eine Rechtsanwaltskanzlei ist eine nicht-öffentliche Stelle nach § 2 Abs. 4 Satz 1 BDSG. Eine Anwaltskanzlei kann in diversen Rechtsformen auftreten. Die genaue Rechtsform kann dahingestellt bleiben, da eine Kanzlei auf jeden Fall eine Gesellschaft oder andere Personenvereinigung des privaten Rechts ist.12 Die Verantwortlichkeit bleibt gem. § 3 Abs. 7 BDSG auch dann bestehen, wenn eine Rechtsanwaltskanzlei die personenbezogenen Daten im Rahmen einer Auftragsdatenverarbeitung auslagert. Eine Rechtsanwaltskanzlei ist somit tauglicher Adressat des BDSG. 3. Räumlicher Anwendungsbereich Im Hinblick auf den räumlichen Anwendungsbereichs des BDSG gibt es bei der Auslagerung der Mandantendaten an einen Cloud-Anbieter mit Sitz in Deutschland, in der EU bzw. dem EWR oder in Drittstaaten, wie der USA, keine Unterschiede oder Besonderheiten zu kleinen und mittelständischen Unternehmen, die nicht einem speziellen Berufsrecht unterliegen. Für Rechtsanwaltskanzleien mit Niederlassung in Deutschland ist immer deutsches Datenschutzrecht anwendbar.13 Auf die Auslagerung der Mandantendaten einer deutschen Anwaltskanzlei finden ferner deutsches Berufsrecht und deutsches Strafrecht Anwendung.14
II. Datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Mandantendaten Für die datenschutzrechtliche Rechtmäßigkeit der Auslagerung von Mandantendaten in Rechtsanwaltskanzleien gilt das Prinzip des Verbots mit Erlaubnisvorbehalt nach § 4 Abs. 1 BDSG. Bei der Auslagerung von Man12 Weichert, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG, § 2 Rn. 16; Schreiber, in: Plath (Hrsg.), BDSG, § 2 Rn. 15; Dammann, in: Simitis (Hrsg.), BDSG, § 2 Rn. 120. 13 Siehe C. I. 2. g). 14 So auch Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 704 Rn. 8.
226
D. Auslagerung von Mandantendaten in die Cloud
dantendaten an einen Cloud-Anbieter sind aber nicht alleine die datenschutzrechtlichen Vorschriften zu beachten. Gem. § 1 Abs. 3 Satz 2 BDSG bleibt die rechtsanwaltliche Schweigepflicht bei Anwendung des BDSG unberührt. Wo die rechtsanwaltliche Schweigepflicht einen höheren Maßstab für den Schutz der Mandantendaten gebietet, muss dieser auch im Rahmen der Einwilligung, der anderen Erlaubnisnormen bzw. der Auftragsdatenverarbeitung im Datenschutzrecht beachtet werden. Die Prüfung, ob es zu einem Verstoß gegen die Verschwiegenheitspflicht des Rechtsanwalts kommt, ist anhand der Strafnorm des § 203 StGB durchzuführen. § 203 StGB ist die Grundlage aller beruflicher Verschwiegenheitspflichten. § 203 StGB nennt die einschlägigen Berufsgruppen und legt einen gewissen Mindeststandard für die Verschwiegenheitspflichten fest.15 Wesentliche Teile des Geheimnisschutzes werden vorrangig durch § 203 StGB geregelt.16 Wird gegen § 203 StGB verstoßen, liegt stets ein Verstoß gegen die Verschwiegenheitspflicht des anwaltlichen Berufsrechts vor. Liegt kein Verstoß gegen § 203 StGB vor, kann dennoch ein Verstoß gegen die Verschwiegenheitspflicht des anwaltlichen Berufsrechts vorliegen, wenn die Weitergabe von Geheimnissen fahrlässig erfolgt. Maßnahmen, die bei der Auslagerung von Mandantendaten in die Cloud nicht zu einer Strafbarkeit nach § 203 StGB führen, verhindern ebenso die Verletzung sonstiger Verschwiegenheitspflichten des Anwalts nach dem anwaltlichen Berufsrecht.17 1. Datenschutzrechtliche Prüfung: Einwilligung, Erlaubnistatbestand oder Auftragsdatenverarbeitung Die datenschutzrechtliche Prüfung, ob eine Auslagerung von Mandantendaten einer deutschen Anwaltskanzlei an einen Cloud-Anbieter in Deutschland, in der EU bzw. dem EWR oder aus einem Drittstaat – am Beispiel der USA – datenschutzkonform möglich ist, entspricht der Prüfung der datenschutzrechtlichen Rechtmäßigkeit bei Kundendaten. Die Auslagerung von Mandantendaten kann grundsätzlich bei Vorliegen einer Einwilligung nach § 4a BDSG18 oder des Erlaubnistatbestandes des § 28 Abs. 1 Satz 1 Nr. 2 BDSG19 oder im Rahmen einer Auftragsdatenverarbeitung20 datenschutzkonform möglich sein. 15 Franck,
DuD 2015, 253. CR 2012, 758 (759). 17 Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 703 Rn. 5; Dob meier, Datenschutz in der Anwaltskanzlei, S. 18–20; Wicker, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, S. 129; Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 735 f.; Koch, DuD 2014, 691 (693). 18 Siehe dazu C. II. 3. 16 Kroschwald / Wicker,
II. Datenschutzrechtliche Rechtmäßigkeit227
Eine Übermittlung der Mandantendaten an einen US-amerikanischen Cloud-Anbieter scheitert aber in den meisten Fällen an den hohen Anforderungen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG.21 Eine Auftragsdatenverarbeitung dagegen ist zulässig.22 Auf der zweiten Prüfungsstufe der datenschutzrechtlichen Rechtmäßigkeit der Auslagerung von Mandantendaten an einen US-amerikanischen Cloud-Anbieter sind derzeit die nicht sehr praktikable Einwilligung der Mandanten in den Drittstaattransfer, das EU-US Privacy Shield und die EU-Standardvertragsklauseln zulässig.23 2. Prüfung von § 203 StGB Ist die Auslagerung von Mandantendaten in die Cloud nach den datenschutzrechtlichen Vorschriften zulässig, fragt sich, ob die Auslagerung der Mandantendaten auch den Anforderungen des anwaltlichen Berufsrechts gerecht wird. Diese Prüfung ist anhand des Straftatbestandes des § 203 StGB durchzuführen. a) Geschütztes Rechtsgut Das durch § 203 StGB geschützte Rechtsgut ist nach h. M. das Individualinteresse an der Geheimhaltung bestimmter Tatsachen. Jeder Mensch hat einen (persönlichen) Lebens- und Geheimbereich, in dem er selbst darüber verfügen kann, was andere Menschen daraus erfahren sollen und was nicht. Dies folgt aus dem allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 GG i. V. m. Art. 1 GG, das auch das Recht auf die informationelle Selbstbestimmung beinhaltet.24 Ein Allgemeininteresse an der Verschwiegenheit bzw. der Funktionsfähigkeit der in § 203 StGB genannten Berufsgruppen ist durch § 203 StGB – wenn überhaupt – nur mittelbar geschützt.25
19 Siehe
dazu C. II. 2. c) cc). dazu C. II. 5. 21 Siehe dazu C. II. 6. b) cc) (1) (b). 22 Siehe dazu C. II. 6. b) cc) (2). 23 Siehe dazu C. II. 6. b) dd). 24 Fischer, StGB, § 203 Rn. 2; Kühl / Heger, StGB, § 203 Rn. 1; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 3; Szalai / Kopf, ZD 2012, 462; a. A. Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 2 ff.; Härting, ITRB 2009, 138 f. 25 Fischer, StGB, § 203 Rn. 2; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 3; Szalai / Kopf, ZD 2012, 462 f. m. w. N. 20 Siehe
228
D. Auslagerung von Mandantendaten in die Cloud
b) Fremdes Geheimnis Unter einem Geheimnis versteht man Tatsachen, die nur einem beschränkten Personenkreis bekannt sind.26 Darunter kann auch die Tatsache fallen, dass eine Person in einem Mandantenverhältnis zu einem Rechtsanwalt steht.27 Kein Geheimnis liegt dagegen vor, wenn es sich um offenkundige Tatsachen handelt, wenn also beliebige Dritte von den Tatsachen wissen könnten.28 Fremd ist das Geheimnis dann, wenn es eine andere Person betrifft. Das Geheimnis muss allein oder weit überwiegend in der Sphäre des Mandanten liegen.29 Der Mandant muss ein Interesse an der Geheimhaltung haben. Dieses objektive Interesse kann sich anhand eines Geheimhaltungswillens äußern.30 Das Geheimnis muss dem Rechtsanwalt anvertraut worden sein oder sonst bekannt geworden sein. „Anvertrauen bedeutet das Einweihen in ein Geheimnis […] unter solchen Umständen, aus denen sich eine Verpflichtung zur Verschwiegenheit ergibt.“31 Unter „sonst bekannt geworden“ fällt die Kenntniserlangung durch eigene oder fremde Handlungen außerhalb von Anvertrauen.32 Der Rechtsanwalt muss von dem Geheimnis in seiner Funktion als Berufsperson Kenntnis erlangt haben.33 Das Geheimnis muss personenbezogen sein. Diese Personenbezogenheit fehlt beispielsweise bei anonymisierten Daten.34 Die Daten über die Mandanten, die beim Rechtsanwalt durch Übernahme und Durchführung des Mandats anfallen, sind fremde Geheimnisse.
26 Fischer, StGB, § 203 Rn. 4; Kühl / Heger, StGB, § 203 Rn. 14; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 11; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 5 ff. 27 BGH, Urteil vom 17.05.1995 – VIII ZR 94 / 94, NJW 1995, 2026 ff.; KG Berlin, Urteil vom 11.04.1988 – 24 U 6583 / 87, NJW 1989, 2893 f.; Fischer, StGB, § 203 Rn. 4, 6; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 24; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 706 f. Rn. 14; Kubach / Gutsche, in: Taeger (Hrsg.), Big Data & Co, S. 587; Siegmund, ZRP 2015, 78. 28 Fischer, StGB, § 203 Rn. 5, 10a; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 6. 29 Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 25; Maisch / Seidl, DSB 2012, 127; Szalai / Kopf, ZD 2012, 462 (464). 30 Fischer, StGB, § 203 Rn. 6; Kühl / Heger, StGB, § 203 Rn. 14; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 17, 20; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 5, 7. 31 OLG Köln, Beschluss vom 30.11.1982 – 3 Zs 126 / 82, NStZ 1983, 412 ff. 32 Fischer, StGB, § 203 Rn. 9. 33 Fischer, StGB, § 203 Rn. 7; Kühl / Heger, StGB, § 203 Rn. 16; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 39; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 12. 34 Kühl / Heger, StGB, § 203 Rn. 14.
II. Datenschutzrechtliche Rechtmäßigkeit229
c) Täterkreis, Tathandlung und Taterfolg § 203 StGB ist ein Sonderdelikt. Der Täterkreis ist in § 203 Abs. 1 Nr. 1 bis 6 und Abs. 2 Nr. 1 bis 6 StGB abschließend benannt. § 203 Abs. 3 StGB stellt dem Täterkreis weitere Personen gleich.35 Der Rechtsanwalt fällt unter § 203 Abs. 1 Nr. 3 StGB. Berufsmäßig tätige Gehilfen sind den Anwälten nach § 203 Abs. 3 Satz 2 StGB gleichgestellt. Die Tathandlung von § 203 StGB ist das Offenbaren. Offenbaren ist jedes Mitteilen eines zum Zeitpunkt der Tat noch bestehenden Geheimnisses an einen Dritten, der das Geheimnis noch überhaupt nicht bzw. noch nicht in diesem Umfang kennt.36 Die Offenbarung muss sowohl die Person als auch die Tatsache betreffen, damit das Geheimnis personenbezogen ist. Die Weitergabe anonymisierter Mitteilungen erfüllt die Tathandlung von § 203 StGB nicht.37 Das geschützte Rechtsgut, das Individualinteresse der Mandanten an der Geheimhaltung von Tatsachen, muss durch das Offenbaren verletzt worden sein. Eine reine Gefährdung des Rechtsguts genügt nicht für den Eintritt des Taterfolgs des § 203 StGB.38 Es ist strittig, ob das fremde Geheimnis tatsächlich zur Kenntnis genommen worden sein muss oder ob die Möglichkeit der Kenntnisnahme ausreicht. Bei mündlichen Mitteilungen ist eine Kenntnisnahme des Geheimnisses durch den Dritten notwendig. Bei einem Schriftstück oder einem verkörperten Geheimnis genügt die Möglichkeit der Kenntnisnahme. Ebenso reicht bei digitalen Geheimnissen die Einräumung der Verfügungsgewalt über die Daten aus; es ist keine tatsächliche Kenntnisnahme nötig.39 Ein Offenbaren kann deshalb bei der Auslagerung von Mandantendaten in die Cloud schon dann gegeben sein, wenn die Daten unverschlüsselt und damit nicht anonymisiert auf den Servern des CloudAnbieters gespeichert sind oder wenn im Falle einer Verschlüsselung der Daten der Cloud-Anbieter den Schlüssel kennt.40 Mit dem Transfer der Mandantendaten an den Cloud-Anbieter befinden sich die Informationen über den Mandanten im Kontrollbereich des Cloud-Anbieters. Für den 35 Fischer, StGB, § 203 Rn. 11 ff.; Kühl / Heger, StGB, § 203 Rn. 2 ff.; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 28; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 34 ff. 36 Fischer, StGB, § 203 Rn. 30; Kühl / Heger, StGB, § 203 Rn. 17; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 48. 37 Fischer, StGB, § 203 Rn. 30. 38 Kroschwald / Wicker, CR 2012, 758 (761). 39 Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 19; Spatscheck, Anwbl. 2012, 478 f. 40 Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 19b; Kroschwald / Wicker, CR 2012, 758 (760 f.).
230
D. Auslagerung von Mandantendaten in die Cloud
Rechtsanwalt ist nicht nachvollziehbar, ob und wann der Cloud-Anbieter tatsächlich auf die Mandantendaten zugreift. Somit reicht die Möglichkeit der Kenntnisnahme für den Taterfolg aus.41 Auch das Argument, dass bei derartig großen Datenbeständen das Auffinden der Mandantendaten durch den Cloud-Anbieter sehr schwierig ist, ist wegen der leichten Durchführbarkeit einer Suche auf den Servern des Cloud-Anbieters abzulehnen. Hat der Cloud-Anbieter mangels Verschlüsselung oder aufgrund der Kenntnis des Schlüssels die Möglichkeit zur Kenntnisnahme der Informationen über die Mandanten, liegt der Taterfolg des Offenbarens vor.42 Außerdem ist nicht erkennbar, welche Mitarbeiter des Cloud-Anbieters in welchem Rechenzentrum die Möglichkeit des Zugriffs auf die Mandantendaten haben. Möglicherweise hat auch externes Wartungspersonal Zugriff auf die Mandantendaten.43 d) Befugnis zur Offenbarung Das Offenbaren des Geheimnisses ist nur dann nach § 203 StGB strafbar, wenn es unbefugt erfolgt ist. Ob die Erlaubnis der Offenbarung des Geheimnisses durch den Mandanten als Einverständniserklärung den Tatbestand des § 203 StGB ausschließt oder als Einwilligung einen Rechtfertigungsgrund bildet, ist umstritten.44 Letztlich ist dieser Streit aber für die Prüfung der Strafbarkeit des § 203 StGB irrelevant. In dieser Untersuchung wird angenommen, dass die Befugnis zur Offenbarung durch eine wirksame Einwilligung als Rechtfertigung die Strafbarkeit des § 203 StGB entfallen lässt. Die Befugnis zur Offenbarung ist gegeben, wenn eine wirksame ausdrückliche, konkludente oder mutmaßliche Einwilligung vorliegt oder wenn gesetzliche Offenbarungspflichten bestehen. Die Einwilligung im Rahmen von § 203 StGB darf nicht mit der Einwilligung i. S. v. § 4a BDSG verwechselt werden. Beides sind eigenständige Institute, die verschiedene Voraussetzungen und Wirkungen haben.45 Liegt eine Einwilligung vor, ist eine Strafbarkeit des Anwalts nach § 203 Abs. 1 StGB ausgeschlossen.
41 Kroschwald / Wicker, CR 2012, 758 (761); Rammos / Vonhoff, CR 2013, 265 (266). 42 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 742 f.; Kroschwald / Wicker, CR 2012, 758 (761). 43 Becker, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 357. 44 Vgl. zum Streitstand u. a. Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 55; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 22. 45 Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 830 Rn. 66.
II. Datenschutzrechtliche Rechtmäßigkeit231
e) Subjektiver Tatbestand Für die Strafbarkeit nach § 203 StGB muss auch der subjektive Tatbestand erfüllt sein. Der Anwalt muss die Mandantendaten vorsätzlich dem Cloud-Anbieter offenbaren. Wenn sich ein Rechtsanwalt dafür entscheidet, Mandantendaten in die Cloud auszulagern, handelt er mit Wissen und Wollen, hat also zumindest bedingten Vorsatz.46 f) Drittgeheimnis Ein Drittgeheimnis ist ein Geheimnis über einen Dritten, z. B. den Klagegegner, das der Mandant seinem Rechtsanwalt anvertraut. In diesem Fall ist der Dritte Träger des geschützten Rechtsguts.47 Strittig ist bei einem Drittgeheimnis, wer die Verfügungsmacht über die Weitergabe des Drittgeheimnisses hat. Teilweise wird vertreten, dass die Verfügungsbefugnis allein dem Dritten zustehe.48 Nach zutreffender Ansicht ist die Person, die das Drittgeheimnis dem Rechtsanwalt anvertraut, neben dem Dritten, den das Geheimnis betrifft, verfügungsbefugt.49 Bei Vorliegen eines Drittgeheimnisses können das anwaltliche Berufsrecht und das BDSG in einen Konflikt geraten, etwa wenn der Dritte, über den der Mandant dem Rechtsanwalt ein Geheimnis anvertraut hat, vom Anwalt die Löschung seiner personenbezogenen Daten nach § 35 Abs. 2 BDSG verlangt. In diesen Konfliktfällen ist der strengere Maßstab des anwaltlichen Berufsrechts anzuwenden. Möchte die Gegenpartei die Klage des Mandanten sabotieren, indem sie z. B. das Recht auf Löschung der Daten gem. § 35 Abs. 2 BDSG gegenüber dem Rechtsanwalt geltend machen möchte, geht der Geheimnisschutz nach § 203 StGB dem Recht auf Löschung der Daten nach dem BDSG vor. Der Anwalt muss die personenbezogenen Daten der Gegenpartei nicht löschen. Er muss aber dafür Sorge tragen, dass auch Geheimnisse der Gegenpartei nicht offenbart werden.50
46 Cierniak / Pohlit,
in: MünchKommStGB, § 203 Rn. 82. in: MünchKommStGB, § 203 Rn. 77. 48 Kühl / Heger, StGB, § 203 Rn. 18. 49 Fischer, StGB, § 203 Rn. 34; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 23. 50 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 749 ff.; Kroschwald / Wicker, CR 2012, 758 (763 f.). 47 Cierniak / Pohlit,
232
D. Auslagerung von Mandantendaten in die Cloud
g) Straflose Auslagerung von Mandantendaten in die Cloud aa) Gehilfe i. S. v. § 203 Abs. 3 Satz 2 StGB Einem Rechtsanwalt stehen gem. § 203 Abs. 3 Satz 2 StGB seine berufsmäßig tätigen Gehilfen gleich. Gehilfen sind befugte Mitwisser und unterliegen gem. § 203 Abs. 3 Satz 2 StGB ebenso wie Berufsgeheimnisträger der strafbewehrten Schweigepflicht.51 Bliebe man streng beim Wortlaut von § 203 StGB, würde auch die Weitergabe von fremden Geheimnissen an andere Berufsgeheimnisträger oder Gehilfen ein Offenbaren sein.52 Der Tatbestand des § 203 StGB entfällt nicht bereits deswegen, weil der Gehilfe seinerseits schweigepflichtig ist.53 Jedoch gehören die Gehilfen zum Kreis der Mitwisser.54 Die Weitergabe der Mandantendaten innerhalb des Arbeitsablaufs in der Kanzlei ist kein Offenbaren. Dazu muss es möglich sein, dass der Anwalt an diese Personen Daten straffrei weiterleitet.55 Zwischen dem Anwalt und den Gehilfen besteht eine Schweigepflichtsphäre, innerhalb derer die Weitergabe von Geheimnissen straflos ist.56 Ein Offenbaren gegenüber diesen Personen ist also nicht nach § 203 StGB strafbar.57 Gehilfen unterstützen die Berufsgeheimnisträger in ihrem beruflichen Wirkungskreis. Diese Unterstützung ist auf die berufliche Tätigkeit des Berufsgeheimnisträgers bezogen und bringt die Kenntnisse fremder Geheimnisse mit sich bzw. ermöglicht die Kenntnis ohne Überwindung besonderer Hindernisse.58 Wäre der Cloud-Anbieter ein Gehilfe des Rechtsanwalts, wäre eine Weitergabe der Mandantendaten an diesen nicht strafbar nach § 203 StGB. Die (noch) h. M.59 verlangt, dass der Gehilfe organisatorisch in den Betrieb des Anwalts eingebunden sein muss und dass der Gehilfe weisungsab51 Heghmanns / Niehaus,
NStZ 2008, 57 (58). in: FS Eser, S. 1157; Franck, DuD 2015, 253 f. 53 BGHZ 115, 128; 116, 272; Kort, NStZ 2011, 193. 54 BGH, Urteil vom 10.08.1995 – IX ZR 220 / 94, NJW 1995, 2915 (2916); Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 831 f. Rn. 67 f.; Hoenike / Hülsdunk, MMR 2004, 788 (789). 55 Sieber, in: FS Eser, S. 1161 f.; Kort, NStZ 2011, 193 (194). 56 BGH, Urteil vom 10.08.1995 – IX ZR 220 / 94, NJW 1995, 2915 (2916); Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 831 f. Rn. 67 f.; Hoenike / Hülsdunk, MMR 2004, 788 (789). 57 Fischer, StGB, § 203 Rn. 21; Heghmanns / Niehaus, NStZ 2008, 57 (58) m. w. N.; Kroschwald / Wicker, CR 2012, 758 (761). 58 Heghmanns / Niehaus, NStZ 2008, 57 (58). 59 Preis, in: Erfurter Kommentar zum Arbeitsrecht, § 106 GewO Rn. 2; Fischer, StGB, § 203 Rn. 21; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 122 ff.; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 19b, 64 f.; Bräutigam / 52 Sieber,
II. Datenschutzrechtliche Rechtmäßigkeit233
hängig ist. Diese Ansicht stellt auf die Rechtsstellung des Gehilfen ab. Die organisatorische Einbindung und die Weisungsabhängigkeit setzen zwar nicht zwangsläufig einen Arbeitsvertrag voraus, verlangen aber auf jeden Fall ein Direktionsrecht des Anwalts gegenüber dem Gehilfen nach § 106 GewO, so dass der Anwalt Zeit, Ort und Art der Leistung des Gehilfen bestimmen kann. Externe Dienstleister können dieser Ansicht nach keine Gehilfen sein. Ein Cloud-Anbieter ist nicht organisatorisch in den Betrieb des Anwalts eingebunden. Der Anwalt hat kein Direktionsrecht nach § 106 GewO gegenüber dem Cloud-Anbieter. Ein Cloud-Anbieter kommt bei der Auslagerung von Mandantendaten in die Cloud nach dieser Ansicht nicht als Gehilfe in Betracht. Eine Weitergabe der Daten an den Cloud-Anbieter wäre somit grundsätzlich nicht straflos. Eine vermittelnde Position60 differenziert nach der Beziehung des Gehilfen zum Aufgabenkreis des Rechtsanwalts. Es kämen nach dieser Auffassung auch externe Dritte, die nicht in der Rechtsanwaltskanzlei tätig sind, als Gehilfen in Betracht, wenn sie in den informationellen Schutzbereich des Rechtsanwalts eingebunden seien. Dies sei dann der Fall, wenn der Dritte mit Aufträgen betraut sei, die eine besonders enge Bindung zum Aufgabenkreis des Berufsgeheimnisträgers aufwiesen. Der Cloud-Anbieter, an den der Anwalt die Mandantendaten auslagert, ist zwar mit einer Aufgabe betraut, nämlich der Mithilfe bei der Verwaltung der Mandantendaten, bei der eine Bindung des Cloud-Anbieters an den Aufgabenkreis des Anwalts besteht. Allerdings ist die Bindung nicht so eng, dass der Cloud-Anbieter in den informationellen Schutzbereich des Anwalts einbezogen wäre. Der Cloud-Anbieter fällt bei der Auslagerung von Mandantendaten nach dieser Ansicht nicht unter den Gehilfenbegriff.61 Eine weitere Auffassung62 stellt auf die Steuerungsmacht des Anwalts ab. Nach dieser Ansicht können externe Dritte unter den Begriff des GehilBrandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 832 f. Rn. 69; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 192 Rn. 22; Conrad / Fechtner, CR 2013, 137 (144); Ehmann, CR 1991, 293 (294 f.); Heghmanns / Niehaus, NStZ 2008, 57 (58); Hoenike / Hülsdunk, MMR 2004, 788 (789). 60 Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 125; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 192 f. Rn. 23; Conrad / Fechtner, CR 2013, 137 (144). 61 Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 838 f. Rn. 80; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 723 f. Rn. 47. 62 Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 193 Rn. 24; Conrad / Fechtner, CR 2013, 137 (144 f.);
234
D. Auslagerung von Mandantendaten in die Cloud
fen fallen. Behält der Anwalt die Herrschaft über die Mandantendaten und kann er diese Herrschaft auch tatsächlich gegenüber dem Dritten ausüben, ist der Dritte Gehilfe. Hat der Anwalt gegenüber dem Cloud-Anbieter die Kontrolle über die Mandantendaten, kann der Cloud-Anbieter Gehilfe sein. Die Auslagerung der Mandantendaten an den Cloud-Anbieter wäre nicht strafbar. Als Kriterien für die Steuerungsmacht des Anwalts werden hier teilweise die Anforderungen aus § 11 Abs. 2 BDSG herangezogen.63 Dieser Ansicht nach kann ein Cloud-Anbieter grundsätzlich als Gehilfe angesehen werden, wenn der Rechtsanwalt ihm Weisungen erteilen und Kontrolle über die Verarbeitung der Mandantendaten ausüben kann. Eine weitergehende Auffassung64 verbindet die Gehilfenstellung mit der Auftragsdatenverarbeitung i. S. v. § 11 BDSG: Zwischen dem Gehilfen und dem Anwalt könne ein modifizierter Auftragsdatenverarbeitungsvertrag geschlossen werden. Dieser Verbindung des Gehilfenbegriffs mit der Auftragsdatenverarbeitung i. S. v. § 11 BDSG ist nicht zuzustimmen. Dem Mandanten ist es nicht egal, wem seine Geheimnisse anvertraut werden. Der Mandant geht vielmehr davon aus, dass die Geheimnisse die Sphäre des Rechtsanwalts nicht verlassen. Deswegen spricht § 203 StGB auch von „anvertraut“ und nicht von „erhoben“.65 Der Gehilfe muss dem Rechtsanwalt persönlich bekannt sein. Diese Anforderung wird beim Einschalten von CloudAnbietern nicht gegeben sein.66 Gegen die Verbindung des Gehilfenbegriffs mit der Auftragsdatenverarbeitung sprechen auch die verschiedenen Schutzrichtungen und das gegenüber dem BDSG höhere Schutzniveau des § 203 StGB. Während im Rahmen von § 203 StGB der Täter, also der Anwalt oder der Gehilfe, verantwortlich ist, ist im Rahmen der Auftragsdatenverarbeitung nur die verantwortliche Stelle, also der Rechtsanwalt, für einen Verstoß verantwortlich.67 Ein Gehilfe ist – nimmt man den Begriff wörtlich – „[…] jemand, der einem anderen bei der Arbeit hilft […]“.68 Der Wortlaut „berufsmäßiger Hartung, VersR 2012, 400 (409); Heghmanns / Niehaus, NStZ 2008, 57 (58); Lensdorf / Mayer-Wegelin / Mantz, CR 2009, 62 (64 f.); Niemann / Paul, K&R 2009, 444 (451). 63 Heghmanns / Niehaus, NStZ 2008, 57 (61 f.). 64 Hartung, VersR 2012, 400 (409); Hoenike / Hülsdunk, MMR 2004, 788 (791 f.); Kroschwald / Wicker, CR 2012, 758 (762). 65 Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 747; Kroschwald / Wicker, CR 2012, 758 (762). 66 Kroschwald / Wicker, CR 2012, 758 (762). 67 Wicker, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, S. 265; Kroschwald / Wicker, CR 2012, 758 (762). 68 Duden online zu „Gehilfe“.
II. Datenschutzrechtliche Rechtmäßigkeit235
Gehilfe“ legt nahe, dass die Person als Hilfsperson unterstützend im Aufgabenbereich des Berufsgeheimnisträgers tätig sein muss. Die Tätigkeit des Gehilfen muss einen unmittelbaren Zusammenhang mit der Tätigkeit des Rechtsanwalts haben. Die Verknüpfung der Tätigkeit des Gehilfen mit dem Aufgabenbereich des Berufsgeheimnisträgers lässt Tätigkeiten, die nur die äußeren Bedingungen für die Berufstätigkeit schaffen, wie Reinigungskraft oder Chauffeur, als Gehilfen ausscheiden. Tätigkeiten, die einen unmittelbaren Zusammenhang mit dem Beruf des Rechtsanwalts aufweisen, gehören zu dem Aufgabenbereich eines Rechtsanwalts, also auch EDV-Tätigkeiten.69 Auch bei der Auslagerung von Mandantendaten an einen CloudAnbieter liegt ein funktionaler Zusammenhang mit der Tätigkeit des Rechtsanwalts vor.70 Ein Vergleich des Gehilfenbegriffs des § 203 StGB mit dem Gehilfenbegriff im BGB zeigt, dass der Gehilfe im BGB nicht in den Betrieb eingebunden sein muss. Zwar verlangt der Begriff des Verrichtungsgehilfen in § 831 BGB eine Weisungsgebundenheit, die nur bei einer Eingliederung im Betrieb gegeben sein wird, der Begriff des Erfüllungsgehilfen in § 278 BGB erfordert aber keine strenge Weisungsgebundenheit und organisatorische Einbindung. Auch Selbstständige können Erfüllungsgehilfen sein.71 Auch kann man für die Auslegung des „Gehilfenbegriffs“ § 53a StPO heranziehen. § 53a StPO, der denselben Schutzzweck wie § 203 StGB verfolgt, bezieht Selbstständige in den Begriff des Gehilfen ein. Dabei ist aber zu beachten, dass § 53a StPO keine „berufsmäßige Tätigkeit“ voraussetzt. Verlangt man, dass die „berufsmäßige Tätigkeit“ lediglich einen inneren Zusammenhang zwischen der berufsspezifischen Tätigkeit nach § 203 Abs. 1 StGB und der unterstützenden Tätigkeit voraussetzt, spricht auch der Vergleich des Gehilfenbegriffs in § 53a StPO mit dem Gehilfenbegriff in § 203 StGB dagegen, ein Arbeitsverhältnis des Gehilfen mit dem Berufsgeheimnisträger oder eine organisatorische Einbindung des Gehilfen zu verlangen.72 69 Fischer, StGB, § 203 Rn. 21; Kühl / Heger, StGB, § 203 Rn. 11b; Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 122; Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 64; Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 836 f. Rn. 77; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 725 f. Rn. 50 f. m. w. N.; Conrad / Fechtner, CR 2013, 137 (144); Heghmanns / Niehaus, NStZ 2008, 57 (58 f.); Spatscheck, Anwbl. 2012, 478 (479). 70 Kroschwald / Wicker, CR 2012, 758 (762). 71 Conrad / Fechtner, CR 2013, 137 (144); Heghmanns / Niehaus, NStZ 2008, 57 (58 f.); Hoenike / Hülsdunk, MMR 2004, 788 (790). 72 Conrad / Fechtner, CR 2013, 137 (144); Heghmanns / Niehaus, NStZ 2008, 57 (58 f.); Hoenike / Hülsdunk, MMR 2004, 788 (790); Kroschwald / Wicker, CR 2012, 758 (761).
236
D. Auslagerung von Mandantendaten in die Cloud
Man könnte die Auffassung der h. M. zu § 11 BDSG für die Auslegung des Gehilfenbegriffs des § 203 StGB heranziehen. Die h. M. grenzt die Auftragsdatenverarbeitung nach § 11 BDSG von der Funktionsübertragung ab. Während bei der Auftragsdatenverarbeitung die Weitergabe von Daten an einen Cloud-Anbieter als interne Weitergabe angesehen wird, wird bei der Funktionsübertragung der Cloud-Anbieter als Dritter angesehen. Diese Abgrenzung ist mit der Frage, ob der Cloud-Anbieter als Gehilfe anzusehen ist oder nicht, vergleichbar. Es dürfen bei diesem Vergleich die Grundsätze des BDSG nicht direkt auf das anwaltliche Berufsrecht und § 203 StGB übertragen werden. So kann § 11 BDSG kein Rechtfertigungstatbestand für § 203 StGB sein. Dennoch genügt es für die Annahme eines Gehilfen, dass der Berufsgeheimnisträger – ähnlich wie der Auftraggeber in § 11 BDSG – eine effektive Kontrollmöglichkeit gegenüber dem externen Dritten hat. Das Einschalten eines externen Dritten begründet in diesen Fällen kein größeres Risiko für das Persönlichkeitsrecht des Betroffenen als die kanzleiinterne Weitergabe der Daten.73 Nach h. M.74 ist das geschützte Rechtsgut des § 203 StGB das Individualrecht des Mandanten auf informationelle Selbstbestimmung und nicht die Vertrauensstellung des Anwalts. Das ergibt sich daraus, dass es den Geheimnisschutz nicht wegen der beruflichen Stellung des Rechtsanwalts gibt, sondern der Geheimnisschutz aus der beruflichen Tätigkeit des Anwalts folgt. Die Mandanten müssen dem Rechtsanwalt, damit dieser seinen Pflichten aus dem Anwalt-Mandanten-Verhältnis nachkommen kann, zwangsläufig Geheimnisse mitteilen. Der Mandant unterliegt einem faktischen Zwang, dem Anwalt die notwendigen Informationen mitzuteilen, wenn der Anwalt den Mandanten unterstützen soll.75 Die Mandanten haben die Dispositionsbefugnis über ihre Geheimnisse. Nur wenn das von § 203 StGB geschützte Rechtsgut das Allgemeinrechtsgut des Vertrauens in die Diskretion bestimmter Berufsgruppen wäre, wäre es konsequent, für den Gehilfenbegriff eine Einbindung in die interne Organisation der Kanzlei zu verlangen.76 Durch Verhalten von Personen, die sich organisatorisch außerhalb der Sphäre des Berufsgeheimnisträgers befinden, kann das Vertrauen der Betroffenen in den Berufsstand des Berufsgeheimnisträgers nicht beeinträchtigt werden. Bei Annahme, dass § 203 StGB das Individualinteresse der Betroffenen schützt, kann es keinen Unterschied machen, ob der Berufsgeheimnisträger 73 Heghmanns / Niehaus, 788, (789). 74 Heghmanns / Niehaus, 428 (430). 75 Heghmanns / Niehaus, 788. 76 Heghmanns / Niehaus,
NStZ 2008, 57 (59 f.); Hoenike / Hülsdunk, MMR 2004, NStZ 2008, 57 (60 f.); Kleinewefers / Wilts, NJW 1964, NStZ 2008, 57 (60 f.); Hoenike / Hülsdunk, MMR 2004, NStZ 2008, 57 (60 f.).
II. Datenschutzrechtliche Rechtmäßigkeit237
eine Gefahr für die informationelle Selbstbestimmung darstellt oder ein außenstehender Dritter. Auch das spricht dafür, dass für die Gehilfeneigenschaft nicht eine organisatorische Einbindung erforderlich ist.77 Angesichts des Schutzzwecks von § 203 StGB ist zu fragen, wann man eine Person als zum Kreis der zum Wissen Befugten zählen kann. Dies ist dann der Fall, wenn durch die Einbindung der Person keine erhöhte Gefahr für das informationelle Selbstbestimmungsrecht der Mandanten entsteht. Eine erhöhte Gefahr wird aber nicht dadurch begründet, dass die Hilfsperson Teil eines selbstständigen Unternehmens ist. Auch kann es nicht darauf ankommen, ob die Person örtlich in die Organisation eingebunden ist. Das entscheidende Kriterium, ob ein externer Dienstleister Gehilfe ist, ist vielmehr die Steuerungsmacht des Berufsgeheimnisträgers über den Dienstleister.78 Damit hängt auch die Frage zusammen, ob durch die Einbindung eines externen Dienstleisters weitere Risiken für das geschützte Rechtsgut geschaffen werden. Allerdings sind die Mandantendaten bei einem auf die Auslagerung von Daten spezialisierten Cloud-Anbieter sicherer, als wenn sich der Anwalt selbst um die Speicherung kümmern würde. Die Kriterien für die Steuerungsmacht des Anwalts entsprechen den Kriterien, die an eine gültige Auftragsdatenverarbeitung i. S. v. § 11 BDSG gestellt werden.79 Es gibt auch Überlegungen, ein Urteil80 des EuGH vom 22. November 2012 für die Auslegung des Gehilfenbegriffs fruchtbar zu machen.81 Eine Übertragung des Sachverhalts, der im Telekommunikationsbereich angesiedelt war, auf den Gehilfenbegriff im Rahmen des Vertrauensverhältnisses zwischen Mandant und Anwalt scheitert aber aufgrund der gesetzessystematischen Unterschiede zwischen Fernmeldegeheimnis (§§ 88 ff. TKG) und sonstigen berufsrechtlichen Verschwiegenheitspflichten (§ 43a Abs. 2 BRAO, § 2 BORA).82 Es spricht vieles dafür, den Gehilfenbegriff danach zu bestimmen, ob eine Möglichkeit der effektiven Steuerung bzw. Kontrolle des externen Gehilfen durch den Rechtsanwalt besteht. Bei der Prüfung der Steuerungs- und Kon 77 Heghmanns / Niehaus, 78 Heghmanns / Niehaus,
NStZ 2008, 57 (60 f.). NStZ 2008, 57 (61 f.); Kroschwald / Wicker, CR 2012,
758 (761 f.). 79 Heghmanns / Niehaus, NStZ 2008, 57 (61 f.); Kroschwald / Wicker, CR 2012, 758 (761 f.). 80 EuGH, Urteil vom 22.11.2012 – C-119 / 12 – Josef Probst / mr.nexnet GmbH, ZD 2013, 77 ff. 81 Wicker, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, S. 266 f.; Conrad / Fechtner, CR 2013, 137 (141 ff.). 82 Vander, ZD 2013, 492 (496 f.).
238
D. Auslagerung von Mandantendaten in die Cloud
trollmöglichkeit kann aber nicht auf das datenschutzrechtliche Instrument der Auftragsdatenverarbeitung abgestellt werden, da die berufsrechtlichen Regelungen einen weitergehenden Schutz gewähren. Die Anforderungen an die Steuerung und Kontrolle des externen Gehilfen müssen strenger als bei der Auftragsdatenverarbeitung sein. Im Rahmen der Auslagerung von personenbezogenen Daten in eine Public Cloud ist die Erfüllung der Anforderungen an eine Auftragsdatenverarbeitung für Rechtsanwälte problematisch. Während bei Nichteinhaltung der Normen des BDSG Geldbußen drohen, ist ein Verstoß gegen § 203 StGB mit Freiheitsstrafe bedroht. Aufgrund der Rechtsunsicherheit bei der Auslegung des Gehilfenbegriffs und der Strafandrohung ist derzeit ein Public Cloud-Anbieter bei der Auslagerung von Mandantendaten wegen Fehlens der Steuerungs- und Kontrollmacht der Rechtsanwaltskanzlei nicht unter den Begriff des Gehilfen zu fassen.83 bb) Ausdrückliche Einwilligung in Form einer Schweigepflichtentbindung Der Anwalt kann über eine Schweigepflichtentbindung des Mandanten die Befugnis für eine Weitergabe der Mandantendaten einholen. Eine Schweigepflichtentbindung ist entweder als Rechtfertigungsgrund oder als tatbestandsausschließendes Einverständnis anerkannt. Eine solche Schweigepflichtentbindung muss das ganze Spektrum möglicher Datenverarbeitungen abdecken. Der Mandant muss vor Erteilung der Schweigepflichtentbindung wissen, welche Konsequenzen diese Entbindung hat und was mit seinen Daten geschehen wird. Solange noch nicht abgesehen werden kann, wer – also z. B. auch Unterauftragnehmer – Zugriff auf die Mandantendaten haben kann, ist in der Praxis eine Schweigepflichtentbindung kein praktikabler Weg. Allerdings ist das Aufführen der Unterauftragnehmer in einer Liste und die regelmäßige Ergänzung der Liste zulässig.84 Eine Schweigepflichtentbindung kann nur für die Zukunft erfolgen. Die Daten von Altmandanten dürfen also ohnehin nicht in die Cloud ausgelagert werden, wenn keine gültige Schweigepflichtentbindung vorliegt.85 Das Gleiche gilt, wenn der Anwalt den Cloud-Anbieter wechseln möchte. Auch hier muss er von allen Mandanten, deren Daten er an den neuen Cloud-Anbieter ausla83 Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 838 f. Rn. 80; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 723 f. Rn. 47; Hoenike / Hülsdunk, MMR 2004, 788 (792). 84 Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 715 f. Rn. 33; Düsseldorfer Kreis, Beschluss vom 17.01.2012. 85 Lenckner / Eisele, in: Schönke / Schröder, StGB, § 203 Rn. 19b; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 715 f. Rn. 33; Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 748 f.; Kroschwald / Wicker, CR 2012, 758 (763).
II. Datenschutzrechtliche Rechtmäßigkeit239
gern möchte – und das werden die Daten aller Mandanten sein –, eine Schweigepflichtentbindung einholen.86 Das Vertrauensverhältnis des Mandanten zum Anwalt kann beeinträchtigt werden, wenn dieser zunächst eine Schweigepflichtentbindung für die Auslagerung der Mandantendaten verlangt, bevor er das Mandat übernimmt.87 Ein weiteres Problem ist der Widerruf der Schweigepflichtentbindung. Ein Widerruf der Schweigepflichtentbindung kann seine Wirkung nur vor Auslagerung der Daten an den Cloud-Anbieter entfalten. Widerruft der Mandant die Schweigepflichtentbindung nach Auslagerung der Daten, kann der Widerruf strafrechtlich keine Wirkung mehr entfalten, da der CloudAnbieter schon Kenntnis von den ausgelagerten Daten hat, die Kenntnisnahme aber aufgrund des Vorliegens der Schweigepflichtentbindung für den Anwalt nicht strafbar gem. § 203 StGB war.88 Eine Schweigepflichtentbindung ist ein möglicher Weg für den Anwalt, um einer Strafbarkeit nach § 203 StGB bei der Auslagerung der Mandantendaten in die Cloud zu entgehen. Allerdings ist dieser Weg gerade bezüglich der Altmandantendaten und der Flexibilität der Wechselmöglichkeit des Cloud-Anbieters nicht sehr praktikabel. cc) Befugnis in Form einer konkludenten oder mutmaßlichen Einwilligung Es fragt sich, ob die Erfüllung des Tatbestandsmerkmals der Befugnis auch durch eine konkludente oder mutmaßliche Einwilligung entfällt. Der Mandant muss davon ausgehen, dass ein Rechtsanwalt im Rahmen der Erfüllung seiner Pflichten aus dem Mandantenvertrag auch externe Dritte zur Erledigung bestimmter Aufgaben einsetzt. Insofern könnte eine konkludente Einwilligung des Mandanten vorliegen.89 Eine konkludente Einwilligung des Mandanten trägt aber nicht zur Rechtssicherheit beim Anwalt bei, da der Anwalt aufgrund des Fehlens einer ausdrücklichen Schweigepflichtentbindung des Mandanten oft nur mutmaßen kann, dass der Mandant mit der Auslagerung seiner Daten an einen Cloud-Anbieter einverstanden ist.90 Daher besteht bei der Auslagerung von Mandantendaten in die Cloud keine Möglichkeit einer konkludenten Einwilligung. 86 Franck,
DuD 2015, 253 (254). BRAK-Mitt. 2015, 9 (11); Siegmund, ZRP 2015, 78. 88 Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 715 f. Rn. 33. 89 Spatscheck, Anwbl. 2012, 478 (479) verwendet hier allerdings den Begriff der „mutmaßlichen Einwilligung“. 90 Siegmund, BRAK-Mitt. 2015, 9 (12); Siegmund, ZRP 2015, 78 f. 87 Siegmund,
240
D. Auslagerung von Mandantendaten in die Cloud
Eine mutmaßliche Einwilligung kommt grundsätzlich nur dann in Betracht, wenn eine Schweigepflichtentbindung nicht mehr rechtzeitig eingeholt werden kann.91 Eine mutmaßliche Einwilligung kann aber aufgrund des hohen Stellenwerts des Geheimnis- und Datenschutzes gut abgelehnt werden.92 dd) Gesetzliche Befugnisnorm Gesetzliche Befugnisnormen könnten § 11 BDSG oder eine andere Norm des BDSG sein. Datenschutzrechtliche Normen, wie § 11 BDSG, sind aber deswegen keine gesetzlichen Befugnisnormen i. S. v. § 203 StGB, weil bei personenbezogenen Daten, die der Schweigepflicht unterfallen, der strengere Maßstab des anwaltlichen Berufsrechts zur Geltung gelangen muss und dieser strengere Maßstab durch die Anwendung datenschutzrechtlicher Normen als Befugnisnormen i. S. v. § 203 StGB ausgehöhlt würde.93 ee) Verschlüsselung Wollte die Rechtsanwaltskanzlei die Mandantendaten ohne Bearbeitungsmöglichkeit verschlüsselt in die Cloud als Backup-Lösung auslagern und hat nur die Kanzlei und nicht auch der Cloud-Anbieter den Schlüssel, läge keine Personenbezogenheit94 und somit auch kein Geheimnis vor. Der Tatbestand von § 203 StGB wäre nicht erfüllt und es läge kein Verstoß gegen die Verschwiegenheitspflicht des Rechtsanwalts vor. Die Kanzlei möchte aber mit den Mandantendaten in der Cloud im Rahmen eines SaaS-Dienstes arbeiten. Im Rahmen eines SaaS-Angebots ist derzeit eine Bearbeitung von verschlüsselten Daten, ohne dass der CloudAnbieter den Schlüssel kennt, (noch) nicht möglich.95 Der Personenbezug der Mandantendaten ist ohne Verschlüsselung gegeben und es liegt ein Geheimnis des Mandanten vor.96 Der Tatbestand des § 203 StGB ist somit 91 Cierniak / Pohlit, in: MünchKommStGB, § 203 Rn. 84; Siegmund, BRAKMitt. 2015, 9 (12). 92 Conrad / Fechtner, CR 2013, 137 (146); Kroschwald / Wicker, CR 2012, 758 (763). 93 Bräutigam / Brandt, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing, S. 830 f. Rn. 66; Becker, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, S. 347 f.; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 187 Rn. 9; Conrad / Fechtner, CR 2013, 137 (144); Hoenike / Hülsdunk, MMR 2004, 788 (789); Kahler, CR 2015, 153 (154). 94 Siehe dazu C. I. 1. b) aa) (2) (b) (ff). 95 Siehe dazu C. I. 1. b) aa) (2) (b) (gg). 96 So auch Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 718 f. Rn. 38; Kroschwald, Informationelle Selbstbestimmung in der Cloud – Datenschutz-
II. Datenschutzrechtliche Rechtmäßigkeit241
bei der Nutzung eines SaaS-Dienstes zur Auslagerung der Mandantendaten in die Cloud erfüllt. ff) Arbeitnehmerüberlassung oder Doppelarbeitsverhältnis Zwei für Rechtsanwälte nicht gangbare, nur theoretisch bestehende Möglichkeiten, einer Strafbarkeit von § 203 StGB zu entgehen, sind die Arbeitnehmerüberlassung oder das Doppelarbeitsverhältnis. Bei der Arbeitnehmer überlassung verleiht der externe Dienstleister seine eigenen Mitarbeiter an den Berufsgeheimnisträger. Somit sind die Leiharbeitnehmer in den Betrieb des Berufsgeheimnisträgers eingebunden und der Berufsgeheimnisträger hat auch ein Weisungsrecht gegenüber den Leiharbeitern. Die andere Möglichkeit ist der Abschluss eines Doppelarbeitsverhältnisses. Der Mitarbeiter schließt sowohl einen Arbeitsvertrag mit dem Berufsgeheimnisträger als auch mit dem externen Dienstleister. Auch hier gilt wiederum, dass der Mitarbeiter in den Betriebsablauf des Berufsgeheimnisträgers eingebunden wird.97 Beide Möglichkeiten sind aber bei einer Auslagerung von Mandantendaten an einen Cloud-Anbieter nicht gangbar. gg) Verschwiegenheitserklärung des Cloud-Anbieters und dessen Mitarbeiter Für die Erfüllung des Tatbestandsmerkmals des Offenbarens ist die Abgabe einer Verschwiegenheitserklärung durch den Cloud-Anbieter und dessen Mitarbeiter irrelevant. Da der Cloud-Anbieter nicht unter den Gehilfenbegriff fällt, liegt ein strafbares Offenbaren des Rechtsanwalts nach § 203 StGB vor.98 rechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, S. 444; Wicker, Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, S. 268; Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet, S. 741 f.; Hartung, VersR 2012, 400 (405); Kroschwald / Wicker, CR 2012 758 (760); Siegmund, BRAKMitt. 2015, 9 (11); Stiemerling / Hartung, CR 2012, 60 (67 f.). 97 Thalhofer, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, S. 854 f. Rn. 231 ff.; Schultze-Melling, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud Computing, S. 456 f. Rn. 113; Hartung, in: Hilber (Hrsg.), Handbuch Cloud Computing, S. 728 f. Rn. 54; Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 195 ff. Rn. 39 und 43; Maisch / Seidl, DSB 2012, 127. 98 Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, S. 203 Rn. 50; Kroschwald / Wicker, CR 2012, 758 (762); a. A. Kort, NStZ 2011, 193 (194); Sassenberg / Bamberg, DStR 2006, 2052 (2054).
242
D. Auslagerung von Mandantendaten in die Cloud
hh) Genossenschaft von Berufsgeheimnisträgern am Beispiel der DATEV e.G. Die Auslagerung von Mandantendaten an die DATEV e.G.99 als externen Dienstleister führt nicht zur Strafbarkeit nach § 203 StGB. Die DATEV e.G. ist als eingetragene Genossenschaft von Berufsträgern als Gehilfe i. S. d. § 203 Abs. 3 Satz 2 StGB anerkannt. Die Grundlage für diese Ausnahme liegt in der genossenschaftlichen Struktur, in der Zusammensetzung aus Berufsträgern, die über Gremien Einfluss auf Entscheidungen der Genossenschaft nehmen können, und in der satzungsmäßigen Zweckbindung.100 ii) Community Cloud und Sealed Cloud für Rechtsanwälte Wie oben101 festgestellt, kann die Kanzlei derzeit keinen Public CloudAnbieter – mit Ausnahme der DATEV e.G. – für die Auslagerung der Mandantendaten in die Cloud einsetzen. Es ist aber zu fragen, ob die in der Praxis noch nicht weit verbreiteten Modelle der Community Cloud und der Sealed Cloud eine Möglichkeit sind, eine straflose Auslagerung von Mandantendaten zu erreichen. Die Community Cloud verbindet die Vorteile der Flexibilität und geringen Kosten einer Public Cloud mit dem hohen Niveau der Individualisierung und Steuerungsmacht einer Private Cloud. Als Zwitter zwischen Public Cloud und Private Cloud ermöglicht eine Community Cloud eine straffreie Auslagerung der Mandantendaten aufgrund der größeren Steuerungsmacht, die die Kanzlei gegenüber der Nutzung einer Public Cloud hat. Der Betreiber der Sealed Cloud bietet auch für Rechtsanwälte eine Sealed Cloud102 an. Da durch die getroffenen technischen Maßnahmen sichergestellt wird, dass weder der Betreiber der Sealed Cloud noch ein Dritter Zugriff auf die Mandantendaten nehmen kann, sind diese Daten keine personenbezogenen Daten i. S. v. § 3 Abs. 1 BDSG.103 Diese Daten sind dann ebenfalls kein Geheimnis i. S. v. § 203 StGB. Eine Auslagerung dieser Daten ist damit auch nicht strafbar nach § 203 StGB.
99 DATEV e.G.,
https: // www.datev.de. Datenschutz in der Steuer- und Anwaltskanzlei, S. 68 f.; DATEV e.G., DATEV-Software für Rechtsanwälte, S. 66; Lapp, BB 2011, Heft 36, VI (VII). 101 Siehe dazu D. II. 2. g) aa). 102 ID-Guard, https: // www.idgard.de / cloud-loesungen / cloud-anwaelte. 103 Siehe dazu C. I. 1. b) aa) (2) (b) (hh). 100 Reimann / Schmidt,
II. Datenschutzrechtliche Rechtmäßigkeit243
Allerdings ist die Nutzung einer Community Cloud für Rechtsanwälte und einer Sealed Cloud noch nicht weit verbreitet. Nachteil der Nutzung einer Community Cloud durch kleine und mittelständische Kanzleien ist, dass die Kanzlei andere Kanzleien mit ähnlichen Anforderungen an die genutzten Anwendungen und an die Sicherheit finden muss, um eine Community Cloud kostengünstig buchen zu können. Nachteil der Sealed Cloud ist, dass es bisher nur einen Anbieter für eine derartige Cloud gibt. Die Kostenersparnis und Flexibilität der Sealed Cloud ist somit geringer als bei „gewöhnlichen“ Public Clouds. h) Auswirkung der Neufassung von § 2 BORA auf die Strafbarkeit im Rahmen von § 203 StGB Die Satzungsversammlung bei der Bundesrechtsanwaltskammer erlässt gem. § 191a Abs. 2 BRAO als Satzung eine Berufsordnung für die Ausübung des Rechtsanwaltsberufes unter Berücksichtigung der beruflichen Pflichten und nach Maßgabe des § 59b BRAO. Die Satzungsversammlung kann gem. § 59b Abs. 2 Nr. 1 lit. c) BRAO im Rahmen der Vorschriften der BRAO die Verschwiegenheitspflicht durch Satzung näher ausgestalten. Die Versammlung darf bei Regelung der Verschwiegenheitspflicht den Inhalt von § 203 StGB und § 43a Abs. 2 BRAO näher konkretisieren, nicht aber den Inhalt dieser Regelungen verändern.104 Die Bundesrechtsanwaltskammer fasste am 10. / 11. November 2014 den Beschluss, § 2 BORA neu zu formulieren.105 Es wurden mehrere neue Absätze eingefügt. Der neu verfasste Abs. 3 besagt in lit. c), dass ein Verstoß gegen die Verschwiegenheitspflicht des Rechtsanwalts nicht gegeben ist, soweit das Verhalten des Rechtsanwalts im Rahmen der Arbeitsabläufe der Kanzlei einschließlich der Inanspruchnahme von Leistungen Dritter erfolgt und objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entspricht (Sozialadäquanz). Ziel von § 2 Abs. 3 lit. c) BORA n. F. ist es, Outsourcing von IT-Leistungen zukünftig auch in der Anwaltschaft zu ermöglichen.106 Am 4. März 2015 verfasste das Bundesministerium für Justiz und Verbraucherschutz (BMJV) einen Bescheid107 an die Bundesrechtsanwaltskammer, durch den § 2 Abs. 3 lit. c) BORA n. F. wegen Verstoßes gegen den Gesetzesvorbehalt aufgehoben wurde. Nach 104 Franck,
DuD 2015, 253 (254). in: Römermann (Hrsg.), Beck’scher Online-Kommentar BORA, § 2 Rn. 2a; Franck, DuD 2015, 253 (254); Hartung, Anwbl. 2015, 649; Siegmund, ZRP 2015, 78. 106 Siegmund, ZRP 2015, 78. 107 Maas, Bescheid des BMJV vom 04.03.2015. 105 Römermann / Praß,
244
D. Auslagerung von Mandantendaten in die Cloud
erneuter Überprüfung und Rücksprache mit der Bundesrechtsanwaltskammer erging am 31. März 2015 wiederum ein Bescheid108 vom BMJV an die Bundesrechtsanwaltskammer, in welchem erklärt wurde, dass § 2 Abs. 3 lit. c) BORA n. F. nun doch als noch akzeptabel angesehen werden könne. Seit 1. Juli 2015 ist die Neuregelung des § 2 BORA in Kraft.109 Es fragt sich, ob unter § 2 Abs. 3 lit. c) BORA n. F. auch das Auslagern von Mandantendaten an einen Cloud-Anbieter zu fassen ist, das dann straffrei für den Anwalt möglich wäre. Es ist also von Bedeutung, was unter „Sozial adäquanz“ zu verstehen ist und worauf sich die Sozialadäquanz i. S. v. § 2 Abs. 3 lit. c) BORA n. F. in § 203 StGB beziehen kann. Der Begriff der Sozialadäquanz ist ein allgemein anerkannter Rechtsgrundsatz.110 Sozialadäquates Handeln ist „ein den Wertvorstellungen und Maßstäben der menschlichen Gesellschaft bzw. Gemeinschaft entsprechendes Verhalten.“111 Allerdings genügt für die Sozialadäquanz nicht die Üblichkeit der Handlung, sondern es muss auch immer die rechtliche Billigung beachtet werden.112 Die Formulierung von § 2 Abs. 3 lit. c) BORA n. F. ähnelt einer Äußerung des BGH113, wonach „[…] übliche, von der Allgemeinheit gebilligte und daher in strafrechtlicher Hinsicht im sozialen Leben gänzlich unverdächtige, weil im Rahmen der sozialen Handlungsfreiheit liegende Handlungen […]“ sozialadäquat sind.114 Es gibt drei Anknüpfungspunkte in § 203 StGB, auf die sich der Begriff der Sozialadäquanz beziehen kann. Zunächst könnte die Sozialadäquanz der Handlungen des Rechtsanwalts das Tatbestandsmerkmal des Geheimnisses entfallen lassen, da wegen sozialadäquater Offenbarung das Geheimhaltungsinteresse des Mandanten entfiele. Bezöge man die Sozialadäquanz darauf, bestünde aber trotz Aufforderung des Mandanten gegenüber dem Anwalt, das Geheimnis nicht an externe Dienstleister weiterzugeben, kein Rechtsanspruch des Mandanten auf Verschwiegenheit mehr.115 Die Sozialadäquanz könnte außerdem als Rechtfertigungsgrund angesehen werden.116 Die Sozialadäquanz ist im Strafrecht zwar als allgemeiner Rechtsgrundsatz anerkannt, aber nicht im Rahmen der Rechtfertigung. Ein 108 Maas,
Bescheid des BMJV vom 31.03.2015. Anwbl. 2015, 649. 110 Gasteyer, BRAK-Mitt. 2015, 84 (85). 111 Rönnau, JuS 2011, 311 f. 112 Rönnau, JuS 2011, 311 (312). 113 BGHSt, 23, 226 (228), NJW 1970, 818. 114 Siegmund, ZRP 2015, 78 (79). 115 Franck, DuD 2015, 253 (255 f.). 116 Franck, DuD 2015, 253 (255). 109 Hartung,
II. Datenschutzrechtliche Rechtmäßigkeit245
sozialadäquates Handeln soll nicht wie die üblichen Rechtfertigungsgründe eine Ausnahme von der Strafbarkeit rechtfertigen. Vielmehr lässt die Sozial adäquanz eines Handelns das Vorliegen eines strafrechtlichen Tatbestandes komplett entfallen, weil sozialadäquates Handeln ein allgemein übliches und akzeptiertes Handeln ist.117 Ein weiteres Tatbestandsmerkmal, auf das sich die Sozialadäquanz in § 203 StGB beziehen könnte, wäre die Befugnis. Ein sozialadäquates Tun könnte dazu führen, dass die Befugnis für die Offenbarung des Geheimnisses vorliegt. Nur wenn der Mandant explizit die Weitergabe der Daten verweigert, könnte ein unbefugtes Offenbaren und somit eine Strafbarkeit des Anwalts nach § 203 StGB vorliegen.118 § 2 Abs. 3 lit. c) BORA n. F. als Befugnisnorm i. S. v. § 203 StGB anzusehen, würde aber bedeuten, dass die Bundesrechtsanwaltskammer ihre durch die Verfassung auferlegten Grenzen bei der Neufassung des § 2 BORA überschritten hätte. Das Schreiben vom 4. März 2015119, das § 2 Abs. 3 lit. c) BORA n. F. beanstandet hat, und das Schreiben vom 31. März 2015120, das besagt, dass § 2 Abs. 3 lit c) BORA n. F. als gerade noch akzeptabel angesehen werden kann, weil nach Rücksprache mit der Bundesrechtsanwaltskammer klar wurde, dass § 2 Abs. 3 lit. c) BORA n. F. nicht als Befugnisnorm i. S. v. § 203 StGB gelten solle, zeigen auf, dass § 2 Abs. 3 lit. c) BORA n. F. verfassungsrechtlich gesehen keine Befugnisnorm i. S. v. § 203 StGB sein kann. Selbst wenn man annehmen würde, dass eine Sozialadäquanz die Strafbarkeit des § 203 StGB entfallen ließe, müssten die Tatbestandsmerkmale des § 2 Abs. 3 lit. c) BORA n. F. bei der Auslagerung von Mandantendaten an einen Cloud-Anbieter vorliegen. Der erste Teil der Anforderungen von § 2 Abs. 3 lit. c) BORA n. F. dürfte gegeben sein: Die Auslagerung von Mandantendaten an einen Cloud-Anbieter erfolgt im Rahmen der Arbeitsabläufe der Kanzlei. Allerdings ist der zweite Teil bei der Auslagerung der Mandantendaten problematisch. Die Auslagerung von Mandantendaten müsste objektiv einer üblichen, von der Allgemeinheit gebilligten Verhaltensweise im sozialen Leben entsprechen. Die Verbreitung von CloudDiensten in der Anwaltschaft ist aufgrund der angesprochenen Probleme gering. Das Auslagern von Mandantendaten ist nicht üblich. Es fragt sich aber, ob bei der Bewertung von der Üblichkeit nicht nur auf die Anwaltschaft abzustellen ist, sondern auf die Nutzung von Cloud-Diensten in allen Unternehmensbranchen. Dort ist Cloud Computing inzwischen üblich. Es ist 117 Lenckner / Sternberg-Lieben, in: Schönke / Schröder, StGB, Vor § 32 Rn. 107a m. w. N.; Rönnau, JuS 2011, 311 (312); Siegmund, ZRP 2015, 78 (79). 118 Franck, DuD 2015, 253 (255); Siegmund, ZRP 2015, 78 (79). 119 Maas, Bescheid des BMJV vom 04.03.2015. 120 Maas, Bescheid des BMJV vom 31.03.2015.
246
D. Auslagerung von Mandantendaten in die Cloud
nicht klar, auf welchen Maßstab für die Üblichkeit abgestellt werden muss, was zu Rechtsunsicherheit führt.121 § 2 Abs. 3 lit. c) BORA n. F. ist als reine Klarstellung der bisherigen gesetzlichen Lage anzusehen. § 2 Abs. 3 lit. c) BORA n. F. führt nicht dazu, dass die Auslagerung von Mandantendaten in die Cloud nicht mehr nach § 203 StGB strafbar ist. Dazu bedürfte es etwa einer Änderung von § 43a Abs. 2 BRAO, der dann die Einschaltung eines externen IT-Dienstleisters gestatten und zur Befugnisnorm i. S. v. § 203 StGB werden könnte.122 Die Bundesrechtsanwaltskammer hat bezüglich einer derartigen Änderung jedoch keine Satzungskompetenz.123 Möglicherweise kann es in der Zukunft aber trotzdem zu dieser Änderung kommen. Bundesjustizminister Heiko Maas hat Gesprächsbereitschaft signalisiert.124 Rechtssicherheit bezüglich der Gehilfenstellung von externen Unternehmen – gerade auch von Cloud-Anbietern – kann de lege ferenda nur durch die Einbeziehung von derartigen Anbietern in den Gehilfenbegriff in § 203 StGB geschaffen werden.125
III. Eingeschränkte Möglichkeit der Auslagerung von Mandantendaten in die Cloud Die Auslagerung von Mandantendaten an einen Cloud-Anbieter ist nur sehr eingeschränkt möglich. Möchte eine Rechtsanwaltskanzlei Mandantendaten in die Cloud auslagern, müssen nicht nur die datenschutzrechtlichen Vorschriften beachtet werden, sondern auch das anwaltliche Berufsrecht. Liegt eine Strafbarkeit des § 203 StGB bei der Auslagerung der Mandantendaten in die Cloud vor, verstößt die Auslagerung auch gegen anwaltliches Berufsrecht (§ 43a Abs. 2 BRAO, § 2 BORA) und ist daher nicht rechtskonform möglich. Eine Strafbarkeit des § 203 StGB ist grundsätzlich bei der Auslagerung von Mandantendaten an einen Cloud-Anbieter denkbar. Das Fassen des Cloud-Anbieters unter den Gehilfenbegriff könnte de lege ferenda eine Straffreiheit des Anwalts bei der Auslagerung von Mandantendaten in die Cloud ermöglichen. De lege lata verbleibt für eine Straffreiheit des Anwalts vielmehr die Möglichkeit einer Schweigepflicht121 Römermann / Praß, in: Römermann (Hrsg.), Beck’scher Online-Kommentar BORA, § 2 Rn. 35d; Hartung, Anwbl. 2015, 650 f.; Siegmund, BRAK-Mitt. 2015, 9 (13). 122 Siehe für eine mögliche Formulierung der Neufassung von § 43a Abs. 2 BRAO Siegmund, ZRP 2015, 78 (79 f.). 123 Hartung, Anwbl. 2015, 649 (653). 124 Maas, Bescheid des BMJV vom 31.03.2015. 125 Spatscheck, Anwbl 2012, 478 ff.
III. Eingeschränkte Möglichkeit der Auslagerung247
entbindung der Mandanten, die es dem Anwalt gestattet, ihre personenbezogenen Daten an einen Cloud-Anbieter auszulagern, die Nutzung einer Public Cloud einer eingetragenen Genossenschaft von Berufsträgern, wie der DATEV e.G., und die Nutzung einer Community oder Sealed Cloud speziell für Rechtsanwälte.
E. Zusammenfassung und Ausblick I. Zusammenfassung Das TKG ist bei der Nutzung von Cloud-Diensten nicht anwendbar, weil die Übertragung von Signalen, wenn sie überhaupt stattfindet, vorwiegend Nebenleistung des Cloud-Anbieters ist. Eine Ausnahme sind spezielle, auf Kommunikation angelegte Cloud-Dienste (sog. „CaaS-Dienste“).1 Auch das TMG ist nicht anzuwenden, weil die personenbezogenen Daten der Kunden bzw. Mitarbeiter Inhaltsdaten sind, die ausschließlich dem BDSG unterfallen.2 Die Bestimmbarkeit des Personenbezugs i. S. v. § 3 Abs. 1 BDSG richtet sich weder nach den rein objektiv noch nach den rein subjektiv verfügbaren Mitteln der verantwortlichen Stelle. Vielmehr muss ein Ausgleich zwischen der objektiven und der subjektiven Theorie des Personenbezugs erfolgen. Für die Bestimmbarkeit des Personenbezugs sind nicht nur die Kenntnisse und Möglichkeiten der verantwortlichen Stelle zu beachten, sondern auch das Zusatzwissen von dritten Personen, das durch die verantwortliche Stelle mit einem verhältnismäßigem Aufwand an Zeit, Kosten und Arbeitskraft erlangt werden kann.3 Aus der vermittelnden Ansicht folgt, dass durch eine Anonymisierung von Daten deren Personenbezug entfällt.4 Ein Anonymisieren von Daten ist durch den Einsatz von Verschlüsselungstechniken möglich. Die Verschlüsselung muss dem Stand der Technik entsprechen. Das Unternehmen, das Daten auslagern möchte, muss die einzige Stelle sein, die Zugriff auf den Schlüssel haben darf. Hat nicht nur das Unternehmen, sondern auch der Cloud-Anbieter Zugang zu dem Schlüssel, liegen im Hinblick auf den Cloud-Anbieter keine anonymisierten Daten vor. Vielmehr sind die Daten für den Cloud-Anbieter ebenso personenbezogen wie für das auslagernde Unternehmen, was die Anwendbarkeit des BDSG zur Folge hat.5 Die genannten Anforderungen an die Verschlüsselung können im Rahmen von 1 Siehe
C C 3 Siehe C 4 Siehe C 5 Siehe C 2 Siehe
I. I. I. I. I.
1. 1. 1. 1. 1.
a) a) b) b) b)
aa). bb). aa) (2) (b). aa) (2) (b) (ee). aa) (2) (b) (ff).
I. Zusammenfassung249
SaaS-Diensten, die zur Auslagerung von Kunden- und Personaldaten genutzt werden, nicht erfüllt werden. SaaS-Dienste sind darauf ausgelegt, dass mit den übertragenen Daten gearbeitet werden kann. Die Bearbeitung von verschlüsselten Daten ist aber derzeit technisch (noch) nicht möglich. Die homomorphe Verschlüsselung, die eine Bearbeitung von verschlüsselten Daten ermöglicht, steht noch am Anfang.6 Die Sealed Cloud, die durch das Herstellen von Betreibersicherheit den Zugriff der eigenen Mitarbeiter und von Dritten auf die personenbezogenen Daten der Cloud-Nutzer verhindert, ist zwar ein guter Ansatz zum Ausschluss des Personenbezugs, ist aber (noch) nicht weit verbreitet, da die Sealed Cloud bislang nur das Konzept eines Unternehmens ist.7 Daher liegen bei der Nutzung eines SaaS-Dienstes zur Verwaltung der Kunden- und Personaldaten personenbezogene Daten i. S. v. § 3 Abs. 1 BDSG vor. Die Festlegung, wann das Datenschutzrecht welches Staates Anwendung findet, ist beim Cloud Computing oft problematisch.8 Die traditionellen Prinzipien des Territorialprinzips und des Sitzlandprinzips sind im Zeitalter des Cloud Computing fragwürdig.9 Die DS-GVO führt mit dem Marktortprinzip gem. Art. 3 Abs. 2 DS-GVO ein neues Prinzip für die Anwendbarkeit des europäischen Datenschutzrechts ein.10 Die Übermittlung von Kundendaten an einen Cloud-Anbieter mit Sitz in Deutschland ist nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG dann gerechtfertigt, wenn die Auslagerung für das Unternehmen erforderlich ist und die berechtigten Interessen des Unternehmens die schutzwürdigen Interessen des Kunden überwiegen. Derzeit gibt es keinen kostengünstigeren Weg der Auslagerung von Daten als die Nutzung eines Cloud-Dienstes. Die Abwägung der gegenläufigen Interessen von Unternehmen und Betroffenen erfolgt anhand von Kriterien wie dem Verarbeitungszweck, der Speicherdauer, der Art der Daten, der Größe des Unternehmens, der Transparenz der Verarbeitung und der Größe und der Vertrauenswürdigkeit des Cloud-Anbieters. Wählt das Unternehmen einen verlässlichen Cloud-Anbieter aus und verfolgt dieser eine offene Informationspolitik, kann die Interessenabwägung zugunsten des Unternehmens ausfallen. § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann allerdings nicht die Übermittlung sensibler Daten rechtfertigen.11 Auch die Übermittlung von Personaldaten an einen deutschen CloudAnbieter ist an dem Tatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG zu 6 Siehe
C. I. 1. b) aa) (2) (b) (gg). C. I. 1. b) aa) (2) (b) (hh). 8 Siehe C. I. 2. e). 9 Siehe C. I. 2. f). 10 Siehe C. I. 2. h). 11 Siehe C. II. 2. c) cc). 7 Siehe
250
E. Zusammenfassung und Ausblick
messen. § 32 Abs. 1 Satz 1 BDSG ist nicht auf die Auslagerung von Personaldaten anzuwenden, da unter § 32 Abs. 1 Satz 1 BDSG nur Vorgänge zu fassen sind, die die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses direkt betreffen. Die Auslagerung der Personaldaten ist aber nicht direkt mit diesen Vorgängen verknüpft.12 Wenn die Interessenabwägung in § 28 Abs. 1 Satz 1 Nr. 2 BDSG zugunsten der Interessen des Unternehmens ausfällt, kann das Unternehmen die Auslagerung nicht sensibler Personaldaten über § 28 Abs. 1 Satz 1 Nr. 2 BDSG rechtfertigen.13 Sensible Daten i. S. v. § 3 Abs. 9 BDSG können nicht auf der Basis von § 28 BDSG durch das Unternehmen an einen Cloud-Anbieter übermittelt werden, da die Voraussetzungen an den Tatbestand des § 28 Abs. 6 Nr. 3 BDSG nicht vorliegen.14 Die Einwilligung in die Auslagerung der Daten ist grundsätzlich gem. § 4a BDSG ein zulässiger datenschutzrechtlicher Erlaubnistatbestand für das Unternehmen.15 Problematisch sind allerdings eine mögliche Machtstellung des Unternehmens gegenüber den Kunden und vor allem gegenüber den Bewerbern bzw. Arbeitnehmern.16 Außerdem ist die Bestimmtheit der Einwilligung beim Cloud Computing problematisch.17 Die Einwilligung ist daher oft kein gangbarer Weg für die Auslagerung, besonders dann, wenn auch Altdatenbestände ausgelagert werden sollen, und damit die Einwilligung aller Altkunden erforderlich wäre.18 Mit einer Betriebsvereinbarung lässt sich die Auslagerung der Daten an einen Cloud-Anbieter rechtfertigen, wenn es sich um Daten von Arbeitnehmern in Deutschland handelt. Aufgrund der Schutzbedürftigkeit des Persönlichkeitsrechts des Arbeitnehmers dürfen aber auch auf der Basis einer Betriebsvereinbarung keine sensiblen Daten übertragen werden.19 Für die datenschutzkonforme Auslagerung der Kunden- bzw. Personaldaten kommt der Abschluss eines Auftragsdatenverarbeitungsvertrags des Unternehmens mit dem Cloud-Anbieter gem. § 11 BDSG in Betracht.20 Hierbei ist nicht die Abgrenzung der Auftragsdatenverarbeitung von der Funktionsübertragung entscheidend, sondern die Vertragstheorie. Nach der Vertragstheorie ist nicht entscheidend, welche Funktion der Auftragnehmer 12 Siehe 13 Siehe 14 Siehe 15 Siehe 16 Siehe 17 Siehe 18 Siehe 19 Siehe 20 Siehe
C. C. C. C. C. C. C. C. C.
II. II. II. II. II. II. II. II. II.
2. 2. 2. 3. 3. 3. 3. 4. 5.
d). d). e). a). b). g).
I. Zusammenfassung251
erfüllt. Es kommt vielmehr darauf an, ob der Auftragnehmer den Weisungen des Auftraggebers Folge leistet und alle Voraussetzungen von § 11 BDSG einhält.21 Das Unternehmen muss den Cloud-Anbieter unter der besonderen Berücksichtigung der vom Cloud-Anbieter getroffenen technischen und organisatorischen Maßnahmen auswählen. Die getroffenen Maßnahmen müssen vom Cloud-Anbieter auf die Risiken der Cloud-Umgebung angepasst werden, um die Datensicherheit der Kunden- bzw. Personaldaten zu gewährleisten.22 Das Schriftformerfordernis nach § 11 Abs. 2 Satz 2 Halbsatz 1 BDSG hat konstitutive Wirkung. Es ist dabei zulässig, dass der Cloud-Anbieter ein Formular zum Herunterladen anbietet, welches vom Unternehmen ausgefüllt, unterschrieben und zurückgeschickt wird.23 Eine Vor-Ort-Kontrolle der getroffenen technischen und organisatorischen Maßnahmen beim CloudAnbieter ist aus praktischen Gründen nicht möglich.24 Gem. § 11 Abs. 2 Satz 4 BDSG hat das Unternehmen aber die Pflicht, sich regelmäßig von der Einhaltung der beim Cloud-Anbieter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Erfordernis der Kontrollen durch das Unternehmen kann jedoch durch Zertifizierungen der Cloud-Anbieter durch unabhängige Dritte erfüllt werden.25 Das Problem, dass kleine und mittelständische Unternehmen gegenüber großen Cloud-Anbietern keine Weisungsbefugnis haben, kann durch die Vorverlagerung der Weisungsbefugnis, Transparenz des Cloud-Anbieters und durch die Wechselmöglichkeit des Cloud-Anbieters gelöst werden.26 Die Privilegierungswirkung der Auftragsdatenverarbeitung bedeutet nicht, dass für die Auslagerung der Daten an den Cloud-Anbieter kein Erlaubnistatbestand vorliegen muss. Vielmehr ist der Datentransfer an einen CloudAnbieter im Rahmen einer Auftragsdatenverarbeitung einer stelleninternen Weitergabe von Daten gleichzustellen. Es liegt somit eine Nutzung der Daten vor, die gerechtfertigt sein muss.27 Meist kommt ein gesetzlicher Erlaubnistatbestand (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG, § 32 Abs. 1 Satz 1 BDSG, für sensible Daten § 28 Abs. 6 Nr. 3 BDSG) für die Nutzung der Daten durch das Unternehmen in Betracht. Es kann aber auch eine Einwilligung gem. § 4a BDSG erklärt werden.28 21 Siehe 22 Siehe 23 Siehe 24 Siehe 25 Siehe 26 Siehe 27 Siehe 28 Siehe
C. C. C. C. C. C. C. C.
II. II. II. II. II. II. II. II.
5. 5. 5. 5. 5. 5. 5. 5.
b). c) aa). c) bb) (1). c) bb) (12) (d). c) bb) (12) (e). d). f). g).
252
E. Zusammenfassung und Ausblick
Bei der Auslagerung der Daten des Unternehmens an einen Cloud-Anbieter mit Sitz in der EU bzw. dem EWR ergeben sich keine Unterschiede zu der Auslagerung der Daten an einen Cloud-Anbieter mit Sitz in Deutschland: Die Auslagerung kann sowohl durch eine Einwilligung gem. § 4a BDSG als auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG gerechtfertigt werden.29 Außerdem kommt ein Datentransfer im Rahmen einer Auftragsdatenverarbeitung i. S. v. § 11 BDSG in Betracht.30 Liegt entweder der physische Standort der Datenverarbeitung des CloudAnbieters in der EU bzw. dem EWR oder hat der Cloud-Anbieter dort eine Niederlassung, ist keine Übermittlung der Kunden- bzw. Personaldaten in einen Drittstaat gegeben.31 Eine Auftragsdatenverarbeitung i. S. v. § 11 BDSG ist nicht nur dann privilegiert, wenn der Auftragsdatenverarbeiter seinen Sitz in Deutschland oder der EU bzw. dem EWR hat, sondern auch, wenn er seinen Sitz in einem Drittstaat hat. Das gilt, obwohl § 3 Abs. 8 Satz 3 BDSG die Privilegierung von Auftragsdatenverarbeitern aus Drittstaaten ausschließt. § 3 Abs. 8 Satz 3 BDSG ist aber unionsrechtswidrig. Die Privilegierung von Auftragsdatenverarbeitern aus Drittstaaten folgt aus der unmittelbaren Anwendbarkeit von Art. 25 und 26 DS-RL.32 Die Prüfung der Rechtmäßigkeit einer Übermittlung oder einer Auftragsdatenverarbeitung in einen Drittstaat, wie beispielsweise in die USA, erfolgt zweistufig.33 Die Prüfung der ersten Stufe, also der Zulässigkeit des Datentransfers nach den nationalen Datenschutzvorschriften, ergibt, dass eine Auftragsdatenverarbeitung mit einem Anbieter aus den USA grundsätzlich zulässig ist. Aufgrund der hohen Anforderungen, die die Interessenabwägung in § 28 Abs. 1 Satz 1 Nr. 2 BDSG an den Cloud-Anbieter stellt, ist eine Übermittlung meist nicht zulässig.34 Auf der zweiten Stufe muss geprüft werden, ob die besonderen Anforderungen für Datentransfers in Drittstaaten eingehalten werden. Das Safe Harbor-Abkommen35, das jahrelang für die Rechtfertigung von Datentransfers in die USA auf der zweiten Stufe genutzt wurde, wurde durch die Entscheidung36 des EuGH vom 29 Siehe
C. II. 6. a) aa). C. II. 6. a) bb). 31 Siehe C. II. 6. b) bb) (1). 32 Siehe C. II. 6. b) bb) (2). 33 Siehe C. II. 6. b). 34 Siehe C. II. 6. b) cc). 35 Siehe C. II. 6. b) dd) (2) (a). 36 EuGH, Urteil vom 06.10.2015, C-362 / 14 – Maximillian Schrems / Data Protection Commissioner, MMR 2015, 753 ff. 30 Siehe
I. Zusammenfassung253
6. Oktober 2015 für ungültig erklärt.37 Allerdings kann ab August 2016 das Nachfolgeabkommen, das sog. EU-US Privacy Shield, Datentransfers an zertifizierte US-amerikanische Unternehmen rechtfertigen.38 Auf der zweiten Prüfungsstufe kommt ebenso wie auf der ersten Stufe eine Einwilligung (hier nach § 4c Abs. 1 Satz 1 Nr. 1 BDSG) für die Rechtfertigung in Betracht. Aber auch hier gilt, dass eine Einwilligung nicht praktikabel für das auslagernde Unternehmen ist.39 Der Ausnahmetatbestand des § 4c Abs. 1 Satz 1 Nr. 2 BDSG ist nicht einschlägig.40 Auch kann das Unternehmen den Datentransfer nicht durch Binding Corporate Rules rechtfertigen.41 Die sog. EU-Standardvertragsklauseln kommen (derzeit) für eine Rechtfertigung in Betracht.42 Zusammenfassend gilt, dass ein Unternehmen, das Kunden- bzw. Personaldaten auslagern möchte, mit dem Cloud-Anbieter einen Auftragsdatenverarbeitungsvertrag schließen sollte.43 Bei der Nutzung von Cloud-Diensten durch Rechtsanwälte bestimmt sich das Verhältnis zwischen anwaltlichem Berufsrecht und Datenschutzrecht nicht nach § 1 Abs. 3 Satz 1 BDSG, sondern nach § 1 Abs. 3 Satz 2 BDSG.44 Nach § 1 Abs. 3 Satz 2 BDSG bleibt die Verpflichtung zur Wahrung gesetzlicher Geheimhaltungspflichten oder von Berufs- oder besonderen Amtsgeheimnissen, die nicht auf gesetzlichen Vorschriften beruhen, unberührt. „Unberührtbleiben“ bedeutet in diesem Sinn, dass das BDSG und das anwaltliche Berufsrecht nebeneinander gelten. Bei der Auslagerung von Mandantendaten in die Cloud muss daher das BDSG eingehalten werden. Darüber hinaus ist die Zulässigkeit der Auslagerung an den strengeren Normen des anwaltlichen Berufsrechts zu messen.45 Die datenschutzrechtliche Prüfung der Auslagerung von Mandantendaten in die Cloud erfolgt entsprechend der datenschutzrechtlichen Prüfung der Auslagerung von Kundendaten.46 Die Bewertung, ob das Schutzniveau des anwaltlichen Berufsrechts bei der Auslagerung der Mandantendaten eingehalten wird, erfolgt anhand der 37 Siehe 38 Siehe 39 Siehe 40 Siehe 41 Siehe 42 Siehe 43 Siehe 44 Siehe 45 Siehe 46 Siehe
C. C. C. C. C. C. C. D. D. D.
II. 6. II. 6. II. 6. II. 6. II. 6. II. 6. II. 7. I. 1. I. 1. II. 1.
b) b) b) b) b) b)
dd) dd) dd) dd) dd) dd)
(2) (b). (2) (c). (3). (3). (4) (c). (4) (b).
254
E. Zusammenfassung und Ausblick
Prüfung von § 203 StGB. Ergibt sich eine Strafbarkeit aus § 203 StGB, liegt auch ein Verstoß gegen das anwaltliche Berufsrecht vor.47 Bei der Auslagerung von Mandantendaten an einen Cloud-Anbieter ist der Tatbestand von § 203 StGB grundsätzlich erfüllt.48 Nach der aktuellen Rechtslage kann ein Cloud-Anbieter nicht unter den Gehilfenbegriff i. S. v. § 203 Abs. 3 Satz 2 BDSG gefasst werden.49 Straffreiheit, und damit keine Verletzung des anwaltlichen Berufsrechts, kann bei der Entbindung des Anwalts von seiner Schweigepflicht gegenüber dem Cloud-Anbieter gegeben sein.50 Neben der Schweigepflichtentbindung sind die derzeit einzigen Möglichkeiten der rechtskonformen Auslagerung von Mandantendaten die Nutzung einer Public Cloud der DATEV e.G., einer Community Cloud für Rechtsanwälte oder einer Sealed Cloud für Rechtsanwälte.51
II. Ausblick Das Cloud Computing generiert schon heutzutage Milliardenumsätze. Der Gesamtumsatz wird bis zum Jahr 2018 noch weiter ansteigen.52 Die Relevanz rechtlicher Fragestellungen beim Cloud Computing wird daher in Zukunft noch weiter zunehmen. Ob das Recht in Zukunft die technischen Entwicklungen besser erfassen wird, wird die DS-GVO zeigen, die ab 25. Mai 2018 gelten wird. Trotz des Instruments der Verordnung wird sich möglicherweise wiederum ein unterschiedliches Datenschutzniveau in den einzelnen Staaten ausbilden.53 Ein weiterer Kritikpunkt ist, dass die Normen der DS-GVO technikneutral ausgestaltet sind. In der DS-GVO wird nicht auf moderne Techniken oder Technologien, wie z. B. BYOD, Cloud Computing, Big Data usw. eingegangen.54 Regelungen sind in einem derart technikgeprägten Bereich wie dem Datenschutz aber nötig, insbesondere im Hinblick auf das Cloud Computing.55
47 Siehe
D. II. D. II. 2. 49 Siehe D. II. 2. g) aa). 50 Siehe D. II. 2. g) bb). 51 Siehe D. II. 2. g) hh) und ii). 52 BITKOM / Experton Group, Studie 53 So auch Roßnagel / Nebel / Richter, 54 Hornung / Sädtler, CR 2012, 638 455 (460). 55 So auch Roßnagel / Richter / Nebel, 48 Siehe
über Wachstum des Cloud Marktes. ZD 2015, 455 (460). (639); Roßnagel / Nebel / Richter, ZD 2015, ZD 2013, 103 (104).
Literaturverzeichnis Albrecht, Jan Philipp: Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung – Überblick und Hintergründe zum finalen Text für die DatenschutzGrundverordnung der EU nach der Einigung im Trilog, CR 2016, 88–98. Arbeitsgruppe „Rechtsrahmen des Cloud Computing“: Thesenpapier – Datenschutzrechtliche Lösungen für Cloud Computing, 2012, abrufbar im Internet unter: http: // www.digitale-technologien.de / DT / Redaktion / DE / Downloads / Publikati on / Trusted-Cloud / trustedcloud-ap1-datenschutzrechtliche-loesungen.pdf?__ blob=publicationFile&v=3 (letzter Abruf: 31.07.2016), zitiert als: Arbeitsgruppe „Rechtsrahmen des Cloud Computing“, Thesenpapier – Datenschutzrechtliche Lösungen für Cloud Computing. Ardelt, Mathias / Dölitzscher, Frank / Knahl, Martin / Reich, Christoph: Sicherheitsprobleme für IT-Outsourcing durch Cloud Computing, HMD 2011, Heft 281, 62–70. Arning, Marian / Forgó, Nikolaus / Krügel, Tina: Datenschutzrechtliche Aspekte der Forschung mit genetischen Daten, DuD 2006, 700–705. Artikel-29-Datenschutzgruppe: Article 29 Working Party Statement on the decision of the European Commission on the EU-U.S. Privacy Shield, 2016, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-protection / article-29 / press-mate rial / press-release / art29_press_material / 2016 / 20160726_wp29_wp_statement_ eu_us_privacy_shield_en.pdf (letzter Abruf: 31.07.2016), zitiert als: Artikel29-Datenschutzgruppe, Stellungnahme zum EU-US Privacy Shield. ‒ Opinion 01 / 2016 on the EU-U.S. Privacy Shield draft adequacy decision – WP 238, 2016, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-pro tection / article-29 / documentation / opinion-recommendation / files / 2016 / wp238_ en.pdf (letzter Abruf: 31.07.2016), zitiert als: Artikel-29-Datenschutzgruppe, WP 238. ‒ Statement of the Article 29 Working Party on the consequences of the Schrems judgment, 2016, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-pro tection / article-29 / press-material / press-release / art29_press_material / 2016 / 20160203_statement_consequences_schrems_judgement_en.pdf (letzter Abruf: 31.07.2016), zitiert als: Artikel-29-Datenschutzgruppe, Stellungnahme zu den Konsequenzen des Schrems-Urteils. ‒ Stellungnahme 04 / 2007 zum Begriff „personenbezogene Daten“ – WP 136, 2007, abrufbar im Internet unter: http: // ec.europa.eu / justice / policies / privacy / docs / wpdocs / 2007 / wp136_de.pdf (letzter Abruf: 31.07.2016), zitiert als: Artikel29-Datenschutzgruppe, WP 136. ‒ Stellungnahme 01 / 2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ – WP 169, 2010, abrufbar im Internet unter:
256 Literaturverzeichnis http: // ec.europa.eu / justice / policies / privacy / docs / wpdocs / 2010 / wp169_de.pdf (letzter Abruf: 31.07.2016), zitiert als: Artikel-29-Datenschutzgruppe, WP 169. ‒ Stellungnahme 05 / 2012 zum Cloud Computing – WP 196, 2012, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-protection / article-29 / documen tation / opinion-recommendation / files / 2012 / wp196_de.pdf (letzter Abruf: 31.07. 2016), zitiert als: Artikel-29-Datenschutzgruppe, WP 196. Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.): Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016, zitiert als: Bearbeiter, in: Auer-Reinsdorff / Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht. Barnitzke, Benno: Rechtliche Rahmenbedingungen des Cloud Computing – Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht, Baden-Baden 2014. Baun, Christian / Kunze, Marcel / Nimis, Jens / Tai, Stefan: Cloud Computing – Webbasierte dynamische IT-Services, 2. Aufl., Berlin / Heidelberg 2011. Bayerisches Landesamt für Datenschutzaufsicht: Auftragsdatenverarbeitung nach § 11 BDSG – Gesetzestext mit Erläuterungen, Formulierungshilfe für datenschutzrechtliche Vertragsregelungen und Kurz-Prüfliste Merkmale für die Abgrenzung, 2016, abrufbar im Internet unter: https: // www.lda.bayern.de / media / info_adv.pdf (letzter Abruf: 31.07.2016), zitiert als: Bayerisches Landesamt für Datenschutzaufsicht, Auftragsdatenverarbeitung nach § 11 BDSG. Becker, Leo: Von App Store bis Apple Music: Ausfall bei Apples Cloud-Diensten, 2015, abrufbar im Internet unter: http: // www.heise.de / mac-and-i / meldung / VonApp-Store-bis-Apple-Music-Ausfall-bei-Apples-Cloud-Diensten-2757701.html (letzter Abruf: 31.07.2016), zitiert als: Becker, Von App Store bis Apple Music: Ausfall bei Apples Cloud-Diensten. Becker, Philipp / Nikolaeva, Julia: Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG – Zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende Cloud-Anbieter, CR 2012, 170–176. Becker, Tim: Zulässigkeit der Auftragsdatenverarbeitung von Patientendaten – Auch in der Cloud, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, Edewecht 2013, zitiert als: Becker, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1. Bedner, Mark: Cloud Computing – Technik, Sicherheit und rechtliche Gestaltung, Kassel 2013. ‒ Rechtliche Anforderungen an sicheres Cloud Computing, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat? – Recht und Technik des Cloud Computing in Verwaltung und Wirtschaft, Baden-Baden 2015, zitiert als: Bedner, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat? Bergt, Matthias: Datenschutzrechtliche Erstkontrolle durch vertrauenswürdige Dritte – „Überzeugung“ von der Datensicherheit beim Auftragsdatenverarbeiter, ITRB 2012, 45–47. ‒ Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, Edewecht 2013, zitiert als: Bergt, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1.
Literaturverzeichnis257 ‒ Rechtskonforme Auftragsdatenverarbeitung im Massengeschäft, DuD 2013, 796–801. ‒ Die Bestimmbarkeit als Grundproblem des Datenschutzrechts – Überblick über den Theorienstreit und Lösungsvorschlag, ZD 2015, 365–371. Bierekoven, Christiane: Internationaler Handel mit Kundendaten – Zwischen Tabu und Chance, ITRB 2009, 39–41. ‒ Lizenzierung in der Cloud – Neue Formen der Vertragsgestaltung, ITRB 2010, 42–44. Binsch, Jessica / Tanriverdi, Hakan: Microsoft kann europäische Kundendaten vor US-Zugriff schützen, 2016, abrufbar im Internet unter: http: // www.sueddeutsche. de / digital / datenschutz-microsoft-kann-europaeische-kundendaten-vor-us-zugriffschuetzen-1.3079707 (letzter Abruf: 31.07.2016), zitiert als: Binsch / Tanriverdi, Microsoft kann europäische Kundendaten vor US-Zugriff schützen. Birk, Dominik / Heinson, Dennis / Wegener, Christoph: Virtuelle Spurensuche – Digitale Forensik in Cloud-Umgebungen, DuD 2011, 329–332. Birk, Dominik / Wegener, Christoph: Über den Wolken: Cloud Computing im Überblick, DuD 2010, 641–645. Bisges, Marcel: Urheberrechtliche Aspekte des Cloud Computing – Wirtschaftlicher Vorteil gegenüber herkömmlicher Softwareüberlassung?, MMR 2012, 574–578. Böhm, Wolf-Tassilo / Wybitul, Tim: Arbeitnehmerdaten in der Cloud, ArbR Aktuell 2015, 539–542. Bongers, Frank / Krupna, Karsten: Der Subauftragnehmer im Rahmen einer Auftragsdatenverarbeitung – Weisungs- und Kontrollrechte in einer Auftragskette, RDV 2014, 19–25. Boos, Carina / Kroschwald, Steffen / Wicker, Magda: Datenschutz bei Cloud Computing zwischen TKG, TMG und BDSG – Datenkategorien bei der Nutzung von Cloud-Diensten, ZD 2013, 205–209. Börding, Andreas: Ein neues Datenschutzschild für Europa – Warum auch das überarbeitete Privacy Shield den Vorgaben des Safe Harbor-Urteils des EuGH nicht gerecht werden kann, CR 2016, 431–441. Borges, Georg: Cloud Computing und Datenschutz – Zertifizierung als Ausweg aus einem Dilemma, DuD 2014, 165–169. Borges, Georg / Brennscheidt, Kirstin: Rechtsfragen des Cloud Computing – ein Zwischenbericht, in: Borges / Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Berlin 2012, zitiert als: Borges / Brennscheidt, in: Borges / Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce. Borges, Georg / Meents, Jan Geert (Hrsg.): Cloud Computing – Rechtshandbuch, München 2016, zitiert als: Bearbeiter, in: Borges / Meents (Hrsg.), Cloud Computing – Rechtshandbuch. Bräutigam, Peter (Hrsg.), IT-Outsourcing und Cloud-Computing – Eine Darstellung aus rechtlicher, technischer, wirtschaftlicher und vertraglicher Sicht, 3. Aufl.,
258 Literaturverzeichnis Berlin 2013, zitiert als: Bearbeiter, in: Bräutigam (Hrsg.), IT-Outsourcing und Cloud-Computing. Brennscheidt, Kirstin: Cloud Computing und Datenschutz, Baden-Baden 2013. Briegleb, Volker: Internetdienste nach Amazon-Störung mit Schluckauf, 2013, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Internetdienstenach-Amazon-Stoerung-mit-Schluckauf-1942704.html (letzter Abruf: 31.07.2016), zitiert als: Briegleb, Internetdienste nach Amazon-Störung mit Schluckauf. ‒ Microsoft: Deutsche Rechenzentren für Daten in der Cloud, 2015, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Microsoft-DeutscheRechenzentren-fuer-Daten-in-der-Cloud-2916157.html (letzter Abruf: 31.07.2016), zitiert als: Briegleb, Microsoft: Deutsche Rechenzentren für Daten in der Cloud. ‒ Urteil: Microsoft muss Daten aus EU-Rechenzentrum nicht der US-Regierung übergeben, 2016, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Urteil-Microsoft-muss-Daten-aus-EU-Rechenzentrum-nicht-der-US-Re gierung-uebergeben-3268104.html (letzter Abruf: 31.07.2016), zitiert als: Briegleb, Urteil: Microsoft muss Daten aus EU-Rechenzentrum nicht der US-Regierung übergeben. Brink, Stefan / Eckhardt, Jens: Wann ist ein Datum ein personenbezogenes Datum? – Anwendungsbereich des Datenschutzrechts, ZD 2015, 205–212. Brühl, Jannis: Vertraut uns, wir sind Spione, 2016, abrufbar im Internet unter: http: // www.sueddeutsche.de / digital / privacy-shield-vertraut-uns-wir-sind-spione1.3075293 (letzter Abruf: 31.07.2016), zitiert als: Brühl, Vertraut uns, wir sind Spione. Buchner, Benedikt: Verschlüsselte Daten, DuD 2013, 804. ‒ Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, DuD 2016, 155–161. Bundesamt für Sicherheit in der Informationstechnik (BSI): Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter, 2012, abrufbar im Internet unter: https: // www.bsi.bund.de / SharedDocs / Downloads / DE / BSI / Publikati onen / Broschueren / Eckpunktepapier-Sicherheitsempfehlungen-CloudComputingAnbieter.pdf?__blob=publicationFile&v=6 (letzter Abruf: 31.07.2016), zitiert als: BSI, Eckpunktepapier – Sicherheitsempfehlungen für Cloud Computing Anbieter. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM): Cloud Computing – Evolution in der Technik, Revolution im Business, 2009, abrufbar im Internet unter: https: // www.bitkom.org / Publikationen / 2009 / Leitfaden / Leitfaden-Cloud-Computing / 090921-BITKOM-Leitfaden-CloudComputing-Web.pdf (letzter Abruf: 31.07.2016), zitiert als: BITKOM, Cloud Computing – Evolution in der Technik, Revolution im Business. ‒ Cloud Computing – Was Entscheider wissen müssen, 2010, abrufbar im Internet unter: https: // www.bitkom.org / Publikationen / 2010 / Leitfaden / Leitfaden-CloudComputing-Was-Entscheider-wissen-muessen / BITKOM-Leitfaden-Cloud-Com puting-Was-Entscheider-wissen-muessen.pdf (letzter Abruf: 31.07.2016), zitiert als: BITKOM, Cloud Computing – Was Entscheider wissen müssen.
Literaturverzeichnis259 ‒ Eckpunkte für sicheres Cloud Computing – Leitfaden für die Auswahl vertrauenswürdiger Cloud Service Provider, 2013, abrufbar im Internet unter: https: // www.bitkom.org / Publikationen / 2013 / Leitfaden / Eckpunkte-fuer-sicheres-CloudComputing / 130313-Sicheres-Cloud-Computing.pdf (letzter Abruf: 31.07.2016), zitiert als: BITKOM, Eckpunkte für sicheres Cloud Computing. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (BITKOM) / Experton Group: Pressemitteilung: Markt für Cloud Computing wächst ungebrochen, 2014, abrufbar im Internet unter: http: // www.bitkom-re search.de / Presse / Pressearchiv-2014 / Markt-fuer-Cloud-Computing-waechst-unge brochen (letzter Abruf: 31.07.2016), zitiert als: BITKOM / Experton Group, Studie über Wachstum des Cloud Marktes. Busche, Angela: Internationaler Datenverkehr und Bundesdatenschutzgesetz („BDSG“), in: Taeger / Wiebe (Hrsg.), Inside the Cloud, Edewecht 2009, zitiert als: Busche, in: Taeger / Wiebe (Hrsg.), Inside the Cloud. Büst, René: Was ist Cluster Computing?, 2010, abrufbar im Internet unter: http: // clouduser.de / grundlagen / was-ist-cluster-computing-158 (letzter Abruf: 31.07.2016), zitiert als: Büst, Was ist Cluster Computing? ‒ Was ist Utility Computing?, 2010, abrufbar im Internet unter: http: // clouduser. de / grundlagen / was-ist-utility-computing-154 (letzter Abruf: 31.07.2016), zitiert als: Büst, Was ist Utility Computing? ‒ Die historische Entwicklung des Cloud Computing, 2011, abrufbar im Internet unter: http: // clouduser.de / grundlagen / die-historische-entwicklung-des-cloud-com puting-6080 (letzter Abruf: 31.07.2016), zitiert als: Büst, Die historische Entwicklung des Cloud Computing. Buyya, Rajkumar / Yeo, Chee Shin / Venugopal, Srikumar: Market-Oriented Cloud Computing: Vision, Hype, and Reality for Delivering IT Services as Computing Utilities, 2008, abrufbar im Internet unter: http: // arxiv.org / ftp / arxiv / papers / 0808 / 0808.3558.pdf (letzter Abruf: 31.07.2016), zitiert als: Buyya / Yeo / Venugopal, Market-Oriented Cloud Computing. Campos Sánchez-Bordona, Manuel: Schlussanträge des Generalanwalts vom 12. Mai 2016 zur Rechtssache C-582 / 14, 2016, abrufbar im Internet unter: http: // curia. europa.eu / juris / document / document.jsf?text=&docid=178241&pageIndex=0&do clang=DE&mode=req&dir=&occ=first&part=1 (letzter Abruf: 31.07.2016), zitiert als: Campos Sánchez-Bordona, Schlussanträge des Generalanwalts vom 12.05. 2016 zur Rechtssache C-582 / 14. Chandrasekaran, K.: Essentials of Cloud Computing, Boca Raton 2015. Connolly, Chris: Galexia-Studie: The US Safe Harbor – Fact or Fiction?, 2008, abrufbar im Internet unter: http: // www.galexia.com / public / research / assets / safe_har bor_fact_or_fiction_2008 / safe_harbor_fact_or_fiction.pdf (letzter Abruf: 31.07. 2016), zitiert als: Connolly, Galexia-Studie. Conrad, Isabell / Fechtner, Sonja: IT-Outsourcing durch Anwaltskanzleien nach der Inkasso-Entscheidung des EuGH und dem BGH, Urteil vom 07.02.2013 – Datenschutzrechtliche Anforderungen, CR 2013, 137–148.
260 Literaturverzeichnis Conrad, Isabell / Witzel, Michaela: Auslagerung von IT-Leistungen und § 203 StGB, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, Köln 2014, zitiert als: Conrad / Witzel, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen. Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder: Positionspapier der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder zu C-362 / 14, 2015, abrufbar im Internet unter: https: // www. datenschutz.rlp.de / de / grem_dsbkonferenz / sonstiges / 20151021_Positionspapier_ DSK_Safe_Harbor.pdf (letzter Abruf: 31.07.2016), zitiert als: DSK, Positionspapier zu C-362 / 14. Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises (Arbeitskreise Technik und Medien): Orientierungshilfe – Cloud Computing 2.0, 2014, abrufbar im Internet unter: https: // ssl.bremen.de / datenschutz / sixcms / me dia.php / 13 / OH %20Cloud %20Computing %20Version %202.pdf (letzter Abruf: 31.07.2016), zitiert als: DSK, Orientierungshilfe Cloud Computing – Version 2.0. DATEV e.G.: DATEV-Software für Rechtsanwälte, 2015, abrufbar im Internet unter: http: // www.datev.de / portal / ShowContent.do?pid=dpi&cid=87579 (letzter Abruf: 31.07.2016), zitiert als: DATEV e.G., DATEV-Software für Rechtsanwälte. Däubler, Wolfgang: Arbeitsrecht und Informationstechnologien – Vom Umgang eines traditionellen Rechtsgebiets mit neuen Herausforderungen, CR 2005, 767– 772. Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter / Weichert, Thilo (Hrsg.): Bundesdatenschutzgesetz – Kompaktkommentar zum BDSG, 5. Aufl., Frankfurt am Main 2016, zitiert als: Bearbeiter, in: Däubler / Klebe / Wedde / Weichert (Hrsg.), BDSG. Dehmel, Susanne / Hullen, Nils: Auf dem Weg zu einem zukunftsfähigen Datenschutz in Europa? – Konkrete Auswirkungen der DS-GVO auf Wirtschaft, Unternehmen und Verbraucher, ZD 2013, 147–153. Dobmeier, Gerhard: Datenschutz in der Anwaltskanzlei, Regensburg 2004. Duden online zu „Gehilfe“: abrufbar im Internet unter: http: // www.duden.de / recht schreibung / Gehilfe (letzter Abruf: 31.07.2016), zitiert als: Duden online zu „Gehilfe“. Duden online zu „Outsourcing“: abrufbar im Internet unter: http: // www.duden. de / rechtschreibung / Outsourcing (letzter Abruf: 31.07.2016), zitiert als: Duden online zu „Outsourcing“. Düsseldorfer Kreis: Beschluss der obersten Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich vom 28. / 29. April 2010 in Hannover (überarbeitete Fassung vom 23.08.2010): Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem Safe Harbor-Abkommen durch das Daten exportierende Unternehmen, 2010, abrufbar im Internet unter: http: // www.bfdi.bund.de / SharedDocs / Publikationen / Entschliessungssammlung / DuesseldorferKreis / 290410_ SafeHarbor.pdf?__blob=publicationFile (letzter Abruf: 31.07.2016), zitiert als: Düsseldorfer Kreis, Beschluss vom 28. / 29.04.2010.
Literaturverzeichnis261 ‒ Beschluss der obersten Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich vom 17. Januar 2012: Einwilligungs- und Schweigepflichtentbindungserklärung in der Versicherungswirtschaft, 2012, abrufbar im Internet unter: http: // www.bfdi.bund.de / SharedDocs / Publikationen / Entschliessungssamm lung / DuesseldorferKreis / 170120121EinwilligungVersicherungswirtschaft.pdf;jse ssionid=EC14134CE2561CC27319D691AB6F26AF.1_cid354?__blob=publcation File&v=1 (letzter Abruf: 31.07.2016), zitiert als: Düsseldorfer Kreis, Beschluss vom 17.01.2012. ‒ Beschluss der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich vom 11. / 12. September 2013: Datenübermittlung in Drittstaaten erfordert Prüfung in zwei Stufen, 2013, abrufbar im Internet unter: http: // www.bfdi.bund. de / SharedDocs / Publikationen / Entschliessungssammlung / DuesseldorferKreis / 12092013DatenuebermittlungInDrittstaaten.pdf?__blob=publicationFile&v=1 (letzter Abruf: 31.07.2016), zitiert als: Düsseldorfer Kreis, Beschluss vom 11. / 12.09.2013. Eckhardt, Jens: IP-Adresse als personenbezogenes Datum – neues Öl ins Feuer – Personenbezug im Datenschutzrecht – Grenzen der Bestimmbarkeit am Beispiel der IP-Adresse, CR 2011, 339–344. ‒ Datenschutz im „Cloud Computing“ aus Anbietersicht, in: Borges / Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, Berlin 2012, zitiert als: Eckhardt, in: Borges / Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce. ‒ EU-DatenschutzVO – Ein Schreckgespenst oder Fortschritt?, CR 2012, 195–203. ‒ Auftragsdatenverarbeitung – Gestaltungsmöglichkeiten und Fallstricke, DuD 2013, 585–591. ‒ Cloud Computing – Orientierungshilfe 2.0 des Düsseldorfer Kreises, DuD 2015, 176–182. Eckhardt, Jens / Kramer, Rudi: EU-DSGVO – Diskussionspunkte aus der Praxis, DuD 2013, 287–294. ‒ Auftragsdatenverarbeitung – Datenschutzrechtliches Gestaltungselement zwischen Recht und Technik, DuD 2014, 147–152. Eckhardt, Jens / Kramer, Rudi / Mester, Britta Alexandra: Auswirkungen der geplanten EU-DS-GVO auf den deutschen Datenschutz, DuD 2013, 623–630. EG-Kommission: Entscheidung 2000 / 520 / EG der Kommission vom 26. Juli 2000 gem. der Richtlinie 95 / 46 / EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, 2000, abrufbar im Internet unter: http: // eur-lex.europa.eu / legal-content / DE / TXT / PDF / ?uri=CELEX:32000D0520 &from=DE (letzter Abruf: 31.07.2016), zitiert als: EG-Kommission, Safe HarborEntscheidung. Ehmann, Eugen: Strafbare Fernwartung in der Arztpraxis, CR 1991, 293–296. ‒ (Hrsg.): Der weitere Weg zur Datenschutzgrundverordnung – Näher am Erfolg, als viele glauben?, ZD 2015, 6–12.
262 Literaturverzeichnis Engels, Thomas: Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548–551. Erd, Rainer: Auftragsdatenverarbeitung in sicheren Drittstaaten – Plädoyer für eine Reform von § 3 Abs. 8 Satz 3 BDSG, DuD 2011, 275–278. Erfurter Kommentar zum Arbeitsrecht, 16. Aufl., München 2016, zitiert als: Bearbeiter, in: Erfurter Kommentar zum Arbeitsrecht. Ernst, Stefan: Social Plugins: Der „Like-Button“ als datenschutzrechtliches Problem, NJOZ 2010, 1917–1919. Eßer, Martin / Kramer, Philipp / v. Lewinsiki, Kai (Hrsg.): BDSG – Kommentar zum Bundesdatenschutzgesetz, 4. Aufl., Köln 2014, zitiert als: Bearbeiter, in: Eßer / Kramer / v. Lewinsiki (Hrsg.), BDSG. EU-Kommission: Commission decisions on the adequacy of the protection of person al data in third countries, 2016, abrufbar im Internet unter: http: // ec.europa.eu /jus tice / data-protection / international-transfers / adequacy / index_en.htm (letzter Ab ruf: 31.07.2016), zitiert als: EU-Kommission, Adäquanzentscheidungen. ‒ KOM(2012) 11 endgültig – Vorschlag für Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 2012, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-protec tion / document / review2012 / com_2012_11_de.pdf (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2012) 11 endgültig. ‒ KOM(2012) 529 endgültig – Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen – Freisetzung des Cloud-Computing-Potenzials in Europa, 2012, abrufbar im Internet unter: http: // eur-lex.europa.eu / LexUriServ / LexU riServ.do?uri=COM:2012:0529:FIN:DE:PDF (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2012) 529 endgültig. ‒ KOM(2013) 846 endgültig – Mitteilung der Kommission an das Europäische Parlament und den Rat – Wiederherstellung des Vertrauens beim Datenaustausch zwischen der EU und den USA, 2013, abrufbar im Internet unter: http: // eur-lex. europa.eu / legal-content / DE / TXT / PDF / ?uri=CELEX:52013DC0846&from=EN (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2013) 846 endgültig. ‒ KOM(2013) 847 endgültig – Mitteilung der Kommission an das Europäische Parlament und den Rat über die Funktionsweise der Safe-Harbor-Regelung aus Sicht der EU-Bürger und der in der EU niedergelassenen Unternehmen, 2013, abrufbar im Internet unter: http: // www.europarl.europa.eu / meetdocs / 2014_2019 / documents / com / com_com(2013)0847_ / com_com(2013)0847_de.pdf (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2013) 847 endgültig. ‒ KOM(2015) 566 endgültig – Mitteilung der Kommission an das Europäische Parlament und den Rat zu der Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten von Amerika auf der Grundlage der Richtlinie 95 / 46 / EG nach dem Urteil des Gerichtshofs in der Rechtssache C-362 / 14 (Schrems), 2015, abrufbar im Internet unter: https: // ec.europa.eu / transparency /
Literaturverzeichnis263 regdoc / rep / 1 / 2015 / DE / 1-2015-566-DE-F1-1.PDF (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2015) 566 endgültig. ‒ KOM(2016) 117 endgültig – Communication from the Commission to the European Parliament and the Council – Transatlantic Data Flows: Restoring Trust through Strong Safeguards, 2016, abrufbar im Internet unter: http: // ec.europa. eu / justice / data-protection / files / privacy-shield-adequacy-communication_en.pdf (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2016) 117 endgültig. ‒ KOM(2016) 4176 endgültig – Commission Implementing Decision of 12.07.2016 pursuant to Directive 95 / 46 / EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, 2016, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-protection / files / priva cy-shield-adequacy-decision_en.pdf (letzter Abruf: 31.07.2016), zitiert als: EUKommission, KOM(2016) 4176 endgültig. ‒ KOM(2016) 4176 endgültig Anhang – Annexes to the Commission Implementing Decision pursuant to Directive 95 / 46 / EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield, 2016, abrufbar im Internet unter: http: // ec.europa.eu / justice / data-protec tion / files / annexes_eu-us_privacy_shield_en.pdf (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, KOM(2016) 4176 endgültig Anhang. ‒ Pressemitteilung: Europäische Kommission lanciert EU-US-Datenschutzschild: besserer Schutz für den transatlantischen Datenverkehr, 2016, abrufbar im Internet unter: http: // europa.eu / rapid / press-release_IP-16-2461_de.htm (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, Pressemitteilung: Europäische Kommission lanciert EU-US-Datenschutzschild. ‒ Pressemitteilung: Europäische Kommission stellt EU-US-Datenschutzschild vor: verbindliche Garantien zur Wiederherstellung des Vertrauens in den transatlantischen Datenverkehr, 2016, abrufbar im Internet unter: http: // europa.eu / rapid / press-release_IP-16-433_de.htm (letzter Abruf: 31.07.2016), zitiert als: EU-Kom mission, Pressemitteilung: EU-Kommission stellt EU-US-Datenschutzschild vor. ‒ Pressemitteilung: Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild, 2016, abrufbar im Internet unter: http: // europa.eu / rapid / press-release_IP16-216_de.pdf (letzter Abruf: 31.07.2016), zitiert als: EU-Kommission, Pressemitteilung: EU-US-Datenschutzschild. EU-Parlament: P7_TA-PROV(2014)0212 – Legislative Entschließung des Europäischen Parlaments vom 12. März 2014 zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (allgemeine Datenschutzverordnung) (COM(2012)0011 – C7-0025 / 2012 – 2012 / 0011(COD)), 2014, abrufbar im Internet unter: http: // www.europarl.europa.eu / sides / getDoc. do?pubRef=- // EP // NONSGML+TA+P7-TA-2014-0212+0+DOC+PDF+V0 // DE (letzter Abruf: 31.07.2016), zitiert als: EU-Parlament, P7_TA-PROV(2014)0212. European Network and Information Security Agency (ENISA): Cloud Computing – Benefits, risks and recommendations for information security, 2009, abrufbar im
264 Literaturverzeichnis Internet unter: http: // www.enisa.europa.eu / activities / risk-management / files / deli verables / cloud-computing-risk-assessment / at_download / fullReport (letzter Abruf: 31.07.2016), zitiert als: ENISA, Cloud Computing – Benefits, risks and recommendations for information security. Export.gov: US-EU Safe Harbor List, 2016, abrufbar im Internet unter: https: // safe harbor.export.gov / list.aspx (letzter Abruf: 31.07.2016), zitiert als: Export.gov, Liste von Safe Harbor-zertifizierten Unternehmen. ‒ US-EU Safe Harbor Overview, 2016, abrufbar im Internet unter: https: // build. export.gov / main / safeharbor / eu / eg_main_018476 (letzter Abruf: 31.07.2016), zitiert als: Export.gov, Safe Harbor-Prinzipien. Fickert, Tim: Entwicklungen des Cloud Computing im Überblick – Aktuelle und künftige rechtliche Probleme, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, Edewecht 2009, zitiert als: Fickert, in: Taeger / Wiebe (Hrsg.), Inside the Cloud. Fischer, Thomas: Strafgesetzbuch mit Nebengesetzen, 63. Aufl., München 2016, zitiert als: Fischer, StGB. Foitzick, Klaus / Plankemann, Michael: Cloud Computing und Compliance: Probleme und Lösungsansätze, CCZ 2015, 180–184. Forgó, Nikolaus / Helfrich, Marcus / Schneider, Jochen (Hrsg.): Betrieblicher Datenschutz – Rechtshandbuch, München 2014, zitiert als: Bearbeiter, in: Forgó / Helf rich / Schneider (Hrsg.), Betrieblicher Datenschutz. Forgó, Nikolaus / Krügel, Tina: Der Personenbezug von Geodaten – Cui bono, wenn alles bestimmbar ist?, MMR 2010, 17–23. Franck, Lorenz: Sozialadäquates IT-Outsourcing in der Rechtsanwaltskanzlei, DuD 2015, 253–256. Funke, Michael / Wittmann, Jörn: Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? – Anforderungen an die verantwortliche Stelle, ZD 2013, 221–228. Gasteyer, Thomas: Die 5. Satzungsversammlung reformiert den § 2 BORA, BRAKMitt. 2015, 84–86. Gaul, Björn / Koehler, Lisa-Marie: Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, 2229–2236. Gercke, Marco: PRISM, TEMPORA und das deutsche Strafverfahren – Verwertbarkeit der Erkenntnisse ausländischer Nachrichtendienste – Wann nachrichtendienstliche Erkenntnisse an deutsche Strafverfolgungsbehörden weitergeleitet und verwertet werden dürfen, CR 2013, 749–754. Gerlach, Carsten: Personenbezug von IP-Adressen – Praktische Konsequenzen aus dem Urteil des LG Berlin vom 31.01.2013, CR 2013, 478–484. Giebichenstein, Rüdiger: Chancen und Risiken beim Einsatz von Cloud Computing in der Rechnungslegung, BB 2011, 2218–2224. Giedke, Anna: Cloud Computing: Eine wirtschaftsrechtliche Analyse mit besonderer Berücksichtigung des Urheberrechts, München 2013.
Literaturverzeichnis265 Gierschmann, Sibylle: Was „bringt“ deutschen Unternehmen die DS-GVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, 51–55. Giesen, Thomas: Datenverarbeitung im Auftrag in Drittstaaten – eine misslungene Gesetzgebung – Das deutsche Modell der Auftragsdatenverarbeitung im Konflikt mit den Vorgaben der EU-Datenschutzrichtlinie, CR 2007, 543–548. Gola, Peter / Jaspers, Andreas: § 32 Abs. 1 BDSG – eine abschließende Regelung?, RDV 2009, 212–214. Gola, Peter / Klug, Christoph: Grundzüge des Datenschutzrechts, München 2003. Gola, Peter / Klug, Christoph / Körffer, Barbara / Schomerus, Rudolf: Bundesdatenschutzgesetz, 12. Aufl., München 2015, zitiert als: Gola / Schomerus, BDSG. Gola, Peter / Schulz, Sebastian: Der Entwurf für eine EU-Datenschutz-Grundverordnung – eine Zwischenbilanz, RDV 2013, 1–7. Gola, Peter / Wronka, Georg: Handbuch Arbeitnehmerdatenschutz – Rechtsfragen und Handlungshilfen, 6. Aufl., Heidelberg 2013. Götz, Christopher: Zulässigkeit der grenzüberschreitenden Datenübermittlung zwischen Konzernunternehmen gemäß des BDSG und dem Entwurf der europäischen Datenschutzgrundverordnung, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, Edewecht 2013, zitiert als Götz, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1. Grenzer, Matthis / Heitmüller, Niklas: Zur Problematik des Personenbezuges beim Cloud Computing – Welche Bedeutung hat der Personenbezug von Daten für Cloud Computing und wonach beurteilt er sich?, PinG 2014, 221–230. Grünwald, Andreas / Döpkens, Harm-Randolf: Cloud Control? – Regulierung von Cloud Computing-Angeboten, MMR 2011, 287–290. Grützmacher, Malte: Datenschutz und Outsourcing – Auftragsdatenverarbeitung oder Funktionsübertragung?, ITRB 2007, 183–187. ‒ Software-Urheberrecht und Virtualisierung – Eine erste Problemübersicht, ITRB 2011, 193–195. Hallermann, Ulrich: Wann müssen Auftragsdatenverarbeitungen vor Ort kontrolliert werden?, RDV 2012, 226–230. Hansen, Marit: Datenschutz im Cloud Computing, in: Borges / Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Com merce, Berlin 2012, zitiert als: Hansen, in: Borges / Schwenk (Hrsg.), Daten und Identitätsschutz in Cloud Computing, E-Government und E-Commerce. Härting, Niko: Datenschutz in der Anwaltskanzlei – das große Mysterium, ITRB 2004, 279–281. ‒ Schutz von IP-Adressen – Praxisfolgen der BVerfG-Rechtsprechung zu Onlinedurchsuchung und Vorratsdatenspeicherung, ITRB 2009, 35–39. ‒ Datenschutz und Anwaltsgeheimnis, ITRB 2009, 138–139. ‒ Datenschutzreform in Europa: Einigung im EU-Parlament – Kritische Anmerkungen, CR 2013, 715–721.
266 Literaturverzeichnis ‒ Anonymität und Pseudonymität im Datenschutzrecht, NJW 2013, 2065–2071. ‒ Datenschutz-Grundverordnung – Anwendungsbereich, Verbotsprinzip, Einwilligung, ITRB 2016, 36–40. ‒ Auftragsverarbeitung nach der DSGVO, ITRB 2016, 137–140. ‒ Datenschutz-Grundverordnung – Das neue Datenschutzrecht in der betrieblichen Praxis, Köln 2016, zitiert als: Härting, DS-GVO. Hartung, Jürgen: Datenschutz und Verschwiegenheit bei Auslagerungen durch Versicherungsunternehmen, VersR 2012, 400–410. Hartung, Wolfgang: Aufhebung der anwaltlichen Verschwiegenheitspflicht bei sozialadäquatem Verhalten? – Der neue § 2 Abs. 3 lit. c) BORA ist am 1. Juli 2015 in Kraft getreten, Anwbl. 2015, 649–653. Haupt, Johannes: Wolkenbruch bei Amazon: Datenverlust in der Cloud, 2011, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Wolkenbruchbei-Amazon-Datenverlust-in-der-Cloud-1234444.html (letzter Abruf: 31.07.2016), zitiert als: Haupt, Wolkenbruch bei Amazon: Datenverlust in der Cloud. Heghmanns, Michael / Niehaus, Holger: Datenschutz und strafrechtliche Risiken beim Outsourcing durch private Versicherungen, wistra 2008, 161–167. Heidrich, Joerg / Wegener, Christoph: Sichere Datenwolken – Cloud Computing und Datenschutz, MMR 2010, 803–807. Helwig, Björn / Koglin, Olaf: Service Level Agreements für Software as a ServiceDienste, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, Edewecht 2009, zitiert als: Helwig / Koglin, in: Taeger / Wiebe (Hrsg.), Inside the Cloud. Hennrich, Thorsten: Compliance in Clouds – Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546–552. ‒ Cloud Computing – Herausforderungen an den Rechtsrahmen für Datenschutz, Berlin 2016. Hilber, Marc (Hrsg.): Handbuch Cloud Computing, Köln 2014, zitiert als: Bearbeiter, in: Hilber (Hrsg.), Handbuch Cloud Computing. Hinrichs, Ole: Unsafe Harbor – was tun? – Navigationshilfe für personenbezogene Daten im internationalen Wirtschaftsverkehr, ITRB 2015, 285–290. Hoenike, Mark / Hülsdunk, Lutz: Outsourcing im Versicherungs- und Gesundheitswesen ohne Einwilligung?, MMR 2004, 788–792. Hoeren, Thomas: EU-Standardvertragsklauseln, BCR und Safe-Harbor Principles – Instrumente für ein angemessenes Datenschutzniveau, RDV 2012, 271–277. Hoeren, Thomas / Spittka, Jan: Aktuelle Entwicklungen des IT-Vertragsrechts – ITIL, Third Party Maintainance, Cloud Computing und Open Source Hybrids, MMR 2009, 583–589. Hogan Lovells: USA Freedom Act: A Step Toward Restoring Trust?, 2015, abrufbar im Internet unter: https: // iapp.org / news / a / usa-freedom-act-a-step-toward-restor ing-trust / (letzter Abruf: 31.07.2016), zitiert als: Hogan Lovells, USA Freedom Act.
Literaturverzeichnis267 Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.01.2012, ZD 2012, 99–106. Hornung, Gerrit / Sädtler, Stephan: Europas Wolken – Die Auswirkungen des Entwurfs für eine Datenschutz-Grundverordnung auf das Cloud Computing, CR 2012, 638–645. ‒ Eitel Sonnenschein oder Wolken am Horizont? – Cloud Computing im Gesundheitswesen und die rechtlichen Schutzinstrumente der Telematik-Infrastruktur, DuD 2013, 148–153. Institut für Mittelstandsforschung Bonn: KMU-Definition, 2016, abrufbar im Internet unter: http: // www.ifm-bonn.org / definitionen / kmu-definition-des-ifm-bonn / (letzter Abruf: 31.07.2016), zitiert als: Institut für Mittelstandsforschung Bonn, KMUDefinition. International Working Group on Data Protection in Telecommunications: Sopot Memorandum, 2012, abrufbar im Internet unter: http: // www.datenschutz-berlin.de / attachments / 873 / Sopot_Memorandum_Cloud_Computing.pdf?1335513083 (letzter Abruf: 31.07.2016), zitiert als: International Working Group on Data Protection in Telecommunications, Sopot Memorandum. Jandt, Silke / Nebel, Maxi: Die elektronische Zukunft der Anwaltstätigkeit – Rechtsprobleme beim Outsourcing von Scan-Dienstleistungen, NJW 2013, 1570–1576. Jotzo, Florian: Gilt deutsches Datenschutzrecht auch für Google, Facebook & Co. bei grenzüberschreitendem Datenverkehr?, MMR 2009, 232–237. ‒ Der Schutz personenbezogener Daten in der Cloud, Baden-Baden 2013. Joussen, Jacob: Die Zulässigkeit von vorbeugenden Torkontrollen nach dem neuen BDSG, NZA 2010, 254–259. Jurran, Nico: Deutsche Telekom: Ausfall des Qivicon-Servers legt Smart Homes lahm, 2015, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Deutsche-Telekom-Ausfall-des-Qivicon-Servers-legt-Smart-Homes-lahm2832456.html (letzter Abruf: 31.07.2016), zitiert als: Jurran, Deutsche Telekom: Ausfall des Qivicon-Servers legt Smart Homes lahm. Kahler, Thomas: Auftragsdatenverarbeitung im Drittstaat: europarechtskonform! – Unmittelbare Anwendung der Datenschutzrichtlinie 95 / 46 / EG in Deutschland, RDV 2012, 167–172. ‒ Outsourcing im öffentlichen Sektor und § 203 Abs. 2 StGB – Zur Doppelnatur des § 11 BDSG, CR 2015, 153–157. Kalabis, Lukas / Kunz, Thomas / Wolf, Ruben: Sichere Nutzung von Cloud-Speicherdiensten – Wie die Trennung von Identity-, Access- und Key-Management für mehr Sicherheit und Flexibilität sorgt, DuD 2013, 512–516. Karg, Moritz: Die Rechtsfigur des personenbezogenen Datums – Ein Anachronismus des Datenschutzes?, ZD 2012, 255–260. ‒ Anonymität, Pseudonyme und Personenbezug revisited?, DuD 2015, 520–526. Karger, Michael / Sarre, Frank: Wird Cloud Computing zu neuen juristischen He rausforderungen führen?, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, Edewecht 2009, zitiert als: Karger / Sarre, in: Taeger / Wiebe (Hrsg.), Inside the Cloud.
268 Literaturverzeichnis Kast, Christian R.: Verschlüsselung, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, Köln 2014, zitiert als: Kast, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen. Keppeler, Lutz M.: „Objektive Theorie“ des Personenbezugs und „berechtigtes Interesse“ als Untergang der Rechtssicherheit? – Eine Analyse der Schlussanträge des Generalanwalts in der Rechtssache C-582 / 14 (Speicherung dynamischer IPAdressen), CR 2016, 360–367. Kirchberg-Lennartz, Barbara / Weber, Jürgen: Ist die IP-Adresse ein personenbezogenes Datum?, DuD 2010, 479–481. Kirsch, Christian: Blitz stört Amazons und Microsofts Cloud in Irland, 2011, abrufbar im Internet unter: http: // www.heise.de / ix / meldung / Blitz-stoert-Amazonsund-Microsofts-Cloud-in-Irland-1319332.html (letzter Abruf: 31.07.2016), zitiert als: Kirsch, Blitz stört Amazons und Microsofts Cloud in Irland. ‒ Microsoft verteidigt Daten in Europa gegen US-Zugriff, 2015, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Microsoft-verteidigt-Datenin-Europa-gegen-US-Zugriff-2809638.html (letzter Abruf: 31.07.2016), zitiert als: Kirsch, Microsoft verteidigt Daten in Europa gegen US-Zugriff. Kleinewefers, Herbert / Wilts, Walter: Die Schweigepflicht der Krankenhausleitung, NJW 1964, 428–431. Koch, Alexander: Rechtliche und ethische Verschlüsselungspflichten? – am Beispiel der Rechtsanwaltschaft, DuD 2014, 691–695. Konrad-Klein, Jochen: Datenschutzstandards für die Cloud – ISO / IEC 27 018 zum Schutz personenbezogener Daten, CuA 2015, 23–26. Koós, Clemens / Englisch, Bastian: Eine „neue“ Auftragsdatenverarbeitung? – Gegenüberstellung der aktuellen Rechtslage und der DS-GVO in der Fassung des LIBE-Entwurfs, ZD 2014, 276–285. Kort, Michael: Strafbarkeitsrisiken des Datenschutzbeauftragten nach § 203 StGB beim IT-Outsourcing, insbesondere in datenschutzrechtlich „sichere“ Drittstaaten, NStZ 2011, 193–195. ‒ Datenschutzrechtliche und betriebsverfassungsrechtliche Fragen bei IT-Sicherheitsmaßnahmen, NZA 2011, 1319–1324. ‒ Die Stellung des Betriebsrats im System des Beschäftigtendatenschutzes, RDV 2012, 8–17. ‒ Betriebsrat und Arbeitnehmerdatenschutz – Rechte der Interessenvertretung bei datenschutzrechtlich relevanten Maßnahmen des Arbeitgebers, ZD 2016, 3–9. ‒ Arbeitnehmerdatenschutz gemäß der EU-Datenschutz-Grundverordnung, DB 2016, 711–716. KPMG: Cloud-Monitor 2015 – Cloud-Computing in Deutschland – Status quo und Perspektiven, 2015, abrufbar im Internet unter: https: // www.bitkom.org / Publika tionen / 2015 / Studien / Cloud-Monitor-2015 / Cloud-Monitor-2015-KPMG-BitkomResearch.pdf (letzter Abruf: 31.07.2016), zitiert als: KPMG, Cloud-Monitor 2015.
Literaturverzeichnis269 ‒ Cloud-Monitor 2016 – Cloud-Computing in Deutschland – Status quo und Per spektiven, 2016, abrufbar im Internet unter: https: // assets.kpmg.com / content / dam / kpmg / pdf / 2016 / 05 / kpmg-cloud-monitor-2016.pdf (letzter Abruf: 31.07.2016), zitiert als: KPMG, Cloud-Monitor 2016. Kraska, Sebastian: Auswirkungen der EU-Datenschutzgrundverordnung, ZD-Aktuell 2016, 04173. Krcmar, Helmut: Chancen und Risiken von Cloud Computing für die deutsche Wirtschaft, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat? – Recht und Technik des Cloud Computing in Verwaltung und Wirtschaft, Baden-Baden 2015, zitiert als: Krcmar, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat? Kremer, Sascha: Leistungsketten in der Auftragsdatenverarbeitung – Anforderungen an die Einbeziehung von (Unter-)Unterauftragnehmern nach dem BDSG, ITRB 2014, 60–66. Kremer, Sascha / Buchalik, Barbara: Zum anwendbaren Datenschutzrecht im internationalen Geschäftsverkehr – Internationales Privatrecht und rechtliche Vorgaben in Deutschland in der Korrektur von LG Berlin, Urteil vom 30.04.2013 – 15 O 92 / 12, CR 2013, 789–794. Kremer, Sascha / Sander, Stefan: Gestaltung von Verträgen zur Auftragsdatenverarbeitung – Spielräume bei der Erfüllung von Pflichten aus § 11 BDSG, ITRB 2014, 187–193. Kremer, Sascha / Völkel, Christian: Cloud Storage und Cloud Collaboration als Telekommunikationsdienste – Wann Funktionalitäten von Cloud Services unter das TKG fallen, CR 2015, 501–505. Krempl, Stefan: EU-Datenschutzreform: Industrie lehnt Klausel gegen NSA-Spionage ab, 2015, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / EU-Datenschutzreform-Industrie-lehnt-Klausel-gegen-NSA-Spionage-ab2792913.html (letzter Abruf: 31.07.2016), zitiert als: Krempl, EU-Datenschutzreform: Industrie lehnt Klausel gegen NSA-Spionage ab. Kroschwald, Steffen: Verschlüsseltes Cloud Computing – Anwendung des Daten- und Geheimnisschutzrechts auf „betreibersichere“ Clouds am Beispiel der „Sealed Cloud“, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, Edewecht 2013, zitiert als: Kroschwald, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1. ‒ Verschlüsseltes Cloud Computing – Auswirkung der Kryptografie auf den Personenbezug in der Cloud, ZD 2014, 75–80. ‒ Informationelle Selbstbestimmung in der Cloud – Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands, Wiesbaden 2016. Kroschwald, Steffen / Wicker, Magda: Zulässigkeit von Cloud Computing für Berufsgeheimnisträger: Strafbarkeit von Anwälten und Ärzten durch die Cloud?, in: Taeger (Hrsg.), IT und Internet – mit Recht gestalten, Edewecht 2012, zitiert als: Kroschwald / Wicker, in: Taeger (Hrsg.), IT und Internet. ‒ Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB, CR 2012, 758–764.
270 Literaturverzeichnis Krüger, Stefan / Maucher, Svenja-Ariane: Ist die IP-Adresse wirklich ein personenbezogenes Datum? – Ein falscher Trend mit großen Auswirkungen auf die Praxis, MMR 2011, 433–439. Kubach, Laura / Gutsche, Thomas: Wenn die NSA mitliest – berufsrechtliche Herausforderungen und technische Möglichkeiten sicherer Mandantenkommunikation per E-Mail, in: Taeger (Hrsg.), Big Data & Co – Neue Herausforderungen für das Informationsrecht, Edewecht 2014, zitiert als: Kubach / Gutsche, in: Taeger (Hrsg.), Big Data & Co. Kühl, Kristian / Heger, Martin (Hrsg.): Strafgesetzbuch – Kommentar, 28. Aufl., München 2014, zitiert als: Kühl / Heger, StGB. Kühling, Jürgen / Biendl, Michael: Datenschutzrecht – Basis und Bremse des Cloud Computing – Rechtliche Hemmnisse und Lösungsvorschläge für eine breitere Etablierung von Cloud-Diensten, CR 2014, 150–156. Lapp, Thomas: Im Blickpunkt: Cloud Computing für Rechtsanwälte, Steuerberater und Wirtschaftsprüfer, BB 2011, Heft 36, VI–VII. Lehmann, Michael / Giedke, Anna: Cloud Computing – technische Hintergründe für die territorial gebundene rechtliche Analyse – Cloudspezifische Serververbindungen und eingesetzte Virtualisierungstechnik, CR 2013, 608–616. Lejeune, Mathias: Datenschutz in den Vereinigten Staaten von Amerika, CR 2013, 755–760. ‒ Datentransfer in die USA nach der EuGH-Entscheidung zum Safe Harbor Framework, ITRB 2015, 257–262. Lensdorf, Lars / Mayer-Wegelin, Clemens / Mantz, Reto: Outsourcing unter Wahrung von Privatgeheimnissen – Wie das mögliche Hindernis des § 203 Abs. 1 StGB überwunden werden kann, CR 2009, 62–68. Lenzer, Joachim: Cloud Computing: Prinzipien und Anwendungen, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, Köln 2014, zitiert als: Lenzer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen. Leupold, Andreas / Glossner, Silke (Hrsg.): Münchener Anwaltshandbuch IT-Recht, 3. Aufl., München 2013, zitiert als: Bearbeiter, in: Leupold / Glossner (Hrsg.), MAH IT-Recht. Leutheusser-Schnarrenberger, Sabine: Regelungsbedarf bei Cloud Computing in Kanzleien – Überflüssige Bürokratie und Belastungen für Anwaltskanzleien vermeiden, Anwbl. 2012, 477. Lipsky, Stefanie Kristina: Herausforderungen für kleine und mittlere Unternehmen bei der Anwendung von Cloud Computing – Ein konzeptioneller Ansatz zur Modellierung einer genossenschaftlich organisierten Cloud, Aachen 2013. Lutz, Holger / Weigl, Michaela: Second Generation IT-Outsourcing – Die Problematik des Dreiecksverhältnisses, CR 2014, 629–634. Lutz, Stefan: Identifizierung von Urheberrechtsverletzern – Zulässigkeit der Ermittlung von IP-Adressen durch Anti-Piracy Firmen, DuD 2012, 584–590.
Literaturverzeichnis271 Maas, Heiko: Bescheid des BMJV vom 04.03.2015, 2015, abrufbar im Internet unter: http: // www.brak.de / w / files / 01_ueber_die_brak / 5sv / bescheid-des-bundesminis terium-fuer-justiz-und-verbraucherschutz-vom-4.3.2015.pdf (letzter Abruf: 31.07. 2016), zitiert als: Maas, Bescheid des BMJV vom 04.03.2015. ‒ Bescheid des BMJV vom 31.03.2015, 2015, abrufbar im Internet unter: http: // www.brak.de / w / files / 01_ueber_die_brak / 5sv / bescheid-des-bundesminis terium-der-justiz-und-fuer-verbraucherschutz-vom-31.03.2015.pdf (letzter Abruf: 31.07.2016), zitiert als: Maas, Bescheid des BMJV vom 31.03.2015. Maisch, Michael Marc / Seidl, Alexander: Cloud-Nutzung für Berufsgeheimnisträger – § 203 StGB als „Showstopper“?, DSB 2012, 127–129. Marnau, Ninja / Schirmer, Norbert / Schlehahn, Eva / Schunter, Matthias: TClouds – Herausforderungen und erste Schritte zur sicheren und datenschutzkonformen Cloud, DuD 2011, 333–337. Marnau, Ninja / Schlehahn, Eva: Cloud Computing und Safe Harbor, DuD 2011, 311–316. Mather, Tim / Kumaraswamy, Subra / Latif, Shahed: Cloud Security and Privacy, Beijing 2009. Meissner, Sebastian: EuroPriSe 2.0: Neues vom europäischen Datenschutzgütesiegel, DuD 2014, 153–158. Metzger, Christian / Reitz, Thorsten / Villar, Juan: Cloud Computing – Chancen und Risiken aus technischer und unternehmerischer Sicht, München 2011. Meyer, Sebastian: Mitarbeiterüberwachung: Kontrolle durch Ortung von Arbeitnehmern, K&R 2009, 14–20. Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, MMR 2009, 8–13. Millard, Christopher J. (Hrsg.): Cloud Computing Law, Oxford 2013, zitiert als: Bearbeiter, in: Millard (Hrsg.), Cloud Computing Law. Mohamed, Arif: A history of cloud computing, 2009, abrufbar im Internet unter: http: // www.computerweekly.com / feature / A-history-of-cloud-computing (letzter Abruf: 31.07.2016), zitiert als: Mohamed, A history of cloud computing. Moos, Flemming: Die EU-Standardvertragsklauseln für Auftragsverarbeiter 2010 – Die wesentlichen Neuerungen und Kritikpunkte im Überblick, CR 2010, 281– 286. Moos, Flemming / Schefzig, Jens: „Safe Harbor“ hat Schiffbruch erlitten – Auswirkungen des EuGH-Urteils C-362 / 14 in Sachen Schrems / Data Protection Commissioner, CR 2015, 625–633. Münch, Isabel / Doubrava, Clemens / Essoh, Alex Didier: Eine Gefährdungsanalyse von Private Clouds – Sichere Virtualisierung als Grundlage für sichere Private Cloud-Umgebungen, DuD 2011, 322–328. Münch, Peter: Technisch-organisatorischer Datenschutz – Leitfaden für Praktiker, 4. Aufl., Heidelberg / München / Landsberg 2010. Münchener Kommentar zum StGB, Bd. 4 – §§ 185–262 StGB, 2. Aufl., München 2012, zitiert als: Bearbeiter, in: MünchKommStGB.
272 Literaturverzeichnis Nägele, Thomas / Jacobs, Sven: Rechtsfragen des Cloud Computings, ZUM 2010, 281–292. National Institute of Standards and Technology (NIST): The NIST Definition of Cloud Computing, NIST Special Publication 800-145, 2011, abrufbar im Internet unter: http: // nvlpubs.nist.gov / nistpubs / Legacy / SP / nistspecialpublication800-145. pdf (letzter Abruf: 31.07.2016), zitiert als: NIST, The NIST Definition of Cloud Computing. Nebel, Maxi / Richter, Philipp: Datenschutz bei Internetdiensten nach der DS-GVO – Vergleich der deutschen Rechtslage mit dem Kommissionsentwurf, ZD 2012, 407–413. Nielen, Michael / Thum, Kai: Auftragsdatenverarbeitung durch Unternehmen im Nicht-EU-Ausland, K&R 2006, 171–176. Niemann, Fabian / Hennrich, Thorsten: Kontrollen in den Wolken? – Auftragsdatenverarbeitung in Zeiten des Cloud Computing, CR 2010, 686–692. Niemann, Fabian / Paul, Jörg-Alexander: Bewölkt oder wolkenlos – rechtliche He rausforderungen des Cloud Computings, K&R 2009, 444–452. ‒ (Hrsg.): Praxishandbuch Rechtsfragen des Cloud Computing, Berlin / Boston 2014, zitiert als: Bearbeiter, in: Niemann / Paul (Hrsg.), Praxishandbuch Rechtsfragen des Cloud Computing. Nink, Judith / Pohle, Jan: Die Bestimmbarkeit des Personenbezugs – Von der IPAdresse zum Anwendungsbereich der Datenschutzgesetze, MMR 2015, 563–567. Nordmeier, Carl Friedrich: Cloud Computing und Internationales Privatrecht – Anwendbares Recht bei der Schädigung von in Datenwolken gespeicherten Daten, MMR 2010, 151–156. Obenhaus, Nils: Cloud Computing als neue Herausforderung für Strafverfolgungsbehörden und Rechtsanwaltschaft, NJW 2010, 651–655. Opfermann, Elisabeth: Datenschutzkonforme Vertragsgestaltung im „Cloud Comput ing“, ZEuS 2012, 121–160. Pahlen-Brandt, Ingrid: Zur Personenbezogenheit von IP-Adressen, K&R 2008, 288–290. ‒ Datenschutz braucht scharfe Instrumente – Beitrag zur Diskussion um „personenbezogene Daten“, DuD 2008, 34–40. Paulus, Sachar: Standards für Trusted Clouds – Anforderungen an Standards und aktuelle Entwicklungen, DuD 2011, 317–321. Petri, Thomas: Déjà vu – datenschutzpolitische Aufarbeitung der PRISM-Affäre – Appell nach mehr Transparenz der nachrichtendienstlichen Tätigkeit, ZD 2013, 557–561. ‒ Auftragsdatenverarbeitung und ärztliche Schweigepflicht, DuD 2014, 862–863. ‒ Auftragsdatenverarbeitung – heute und morgen – Reformüberlegungen zur Neuordnung des Europäischen Datenschutzrechts, ZD 2015, 305–309. ‒ Die Safe-Harbor-Entscheidung – Erste Anmerkungen, DuD 2015, 801–805.
Literaturverzeichnis273 Piltz, Carlo: Der räumliche Anwendungsbereich europäischen Datenschutzrechts – Nach geltendem und zukünftigem Recht, K&R 2013, 292–297. ‒ Datentransfers nach Safe Harbor: Analyse der Stellungnahmen und mögliche Lösungsansätze, K&R 2016, 1–7. Plath, Kai-Uwe (Hrsg.): BDSG / DSGVO – Kommentar zum BDSG und zur DSGVO sowie den Datenschutzbestimmungen des TMG und TKG, 2. Aufl., Köln 2016, zitiert als: Bearbeiter, in: Plath (Hrsg.), BDSG. Pohle, Jan / Ammann, Thorsten: Über den Wolken … – Chancen und Risiken des Cloud Computing, CR 2009, 273–278. ‒ Software as a Service – auch rechtlich eine Evolution?, K&R 2009, 625–631. Pordesch, Ulrich / Steidle, Roland: Entfernen des Personenbezugs mittels Verschlüsselung durch Cloudnutzer, DuD 2015, 536–541. Pötters, Stephan: Beschäftigtendaten in der Cloud, NZA 2013, 1055–1060. Rammos, Thanos / Vonhoff, Hans: Cloud Computing und Sozialdatenschutz – Rechtliche Rahmenbedingungen für den Einsatz von Cloud Computing-Diensten im Sozialleistungssektor, CR 2013, 265–272. Rat der Europäischen Union: Dok. 9565 / 15 – Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), 2015, abrufbar im Internet unter: http: // data.consilium. europa.eu / doc / document / ST-9565-2015-INIT / de / pdf (letzter Abruf: 31.07.2016), zitiert als: Rat der Europäischen Union, Dok. 9565 / 15. ‒ Dok. 15039 / 15 – (Arbeits-)Ergebnis der Trilogparteien, 2015, abrufbar im Internet unter: http: // www.statewatch.org / news / 2015 / dec / eu-council-dp-reg-draft-finalcompromise-15039-15.pdf (letzter Abruf: 31.07.2016), zitiert als: Rat der Europäi schen Union, Dok. 15039 / 15. Rath, Michael / Kuß, Christian / Maiworm, Christoph: Die neue Microsoft Cloud in Deutschland mit Datentreuhand als Schutzschild gegen NSA & Co.? – Eine erste Analyse des von Microsoft vorgestellten Datentreuhänder-Modells, CR 2016, 98–103. Rath, Michael / Rothe, Britta: Cloud Computing: Ein datenschutzrechtliches Update, K&R 2013, 623–629. Räther, Philipp: Datenschutz und Outsourcing, DuD 2005, 461–466. Räther, Philipp C. / Seitz, Nicolai: Übermittlung personenbezogener Daten in Drittstaaten – Angemessenheitsklausel, Safe Harbor und die Einwilligung, MMR 2002, 425–433. Redaktion beck-aktuell: Nach Einigung auf „EU-US Datenschutzschild“: Europäische Datenschutzbehörden verlängern Schonfrist, becklink 2002354. ‒ EuGH muss eventuell erneut über Datentransfers in die USA entscheiden, becklink 2003403. Redeker, Helmut: Datenschutz auch bei Anwälten – aber gegenüber Datenschutzkontrollinstanzen gilt das Berufsgeheimnis, NJW 2009, 554–558.
274 Literaturverzeichnis Reimann, Thomas / Schmidt, Nicole: Datenschutz in der Steuer- und Anwaltskanzlei, Nürnberg 2014. Reindl, Martin: Cloud Computing und Datenschutz, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, Edewecht 2009, zitiert als: Reindl, in: Taeger / Wiebe (Hrsg.), Inside the Cloud. Rhoton, John: Cloud computing explained, 3. Aufl., London 2013. Rittweger, Christoph / Schmidl, Michael: Einwirkung von Standardvertragsklauseln auf § 28 BDSG, DuD 2004, 617–620. Rockstroh, Sebastian / Leuthner, Christian: Nutzung von Cloud-basierten RecruitingManagement-Plattformen – Datenschutzkonformer Einsatz im Konzern, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1, Edewecht 2013, zitiert als: Rockstroh / Leuthner, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 1. Röhrborn, Jens / Sinhart, Michael: Application Service Providing – juristische Einordnung und Vertragsgestaltung, CR 2001, 69–77. Römermann, Volker (Hrsg.): Beck’scher Online-Kommentar BORA, 12. Edition, München 2016, zitiert als: Bearbeiter, in: Römermann (Hrsg.), Beck’scher Online-Kommentar BORA. Rönnau, Thomas: Grundwissen – Strafrecht: Sozialadäquanz, JuS 2011, 311–313. Roßnagel, Alexander: Datenschutzfragen des Cloud Computing, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat? – Recht und Technik des Cloud Comput ing in Verwaltung und Wirtschaft, Baden-Baden 2015, zitiert als: Roßnagel, in: Roßnagel (Hrsg.), Wolken über dem Rechtsstaat? Roßnagel, Alexander / Jandt, Silke / Richter, Philipp: Die Zulässigkeit der Übertragung personenbezogener Daten in die USA im Kontext der NSA-Überwachung, DuD 2014, 545–551. Roßnagel, Alexander / Kroschwald, Steffen: Was wird aus der Datenschutzgrundverordnung? – Die Entschließung des Europäischen Parlaments über ein Verhandlungsdokument, ZD 2014, 495–500. Roßnagel, Alexander / Nebel, Maxi / Richter, Philipp: Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO, ZD 2015, 455–460. Roßnagel, Alexander / Richter, Philipp / Nebel, Maxi: Besserer Internetdatenschutz für Europa – Vorschläge zur Spezifizierung der DS-GVO, ZD 2013, 103–108. Roßnagel, Alexander / Scholz, Philip: Datenschutz durch Anonymität und Pseudonymität – Rechtsfolgen der Verwendung anonymer und pseudonymer Daten, MMR 2000, 721–731. Roth, Birgit: Organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten – Vorgaben der Anlage zu § 9 Satz 1 BDSG, ITRB 2010, 60–63. Roth-Neuschild, Birgit: Cloud Way out – Exit-Strategien bei Nutzung von Cloud Services, ITRB 2013, 213–217. Rüpke, Giselher: Datenschutz, Mandatsgeheimnis und anwaltliche Kommunikationsfreiheit, NJW 2008, 1121–1125.
Literaturverzeichnis275 Sander, Stefan / Kremer, Sascha: Datenübermittlung in die USA und die Unmöglichkeit rechtmäßigen Handelns, in: Taeger (Hrsg.), IT und Internet – mit Recht gestalten, Edewecht 2012, zitiert als: Sander / Kremer, in: Taeger (Hrsg.), IT und Internet. Sassenberg, Thomas / Bamberg, Niclas: Steuerberatung, EDV und Verschwiegenheit, DStR 2006, 2052–2055. Schaar, Peter: Datenschutzrechtliche Einwilligung im Internet, MMR 2001, 644– 648. ‒ Datenschutz im Internet, München 2002. Schmechel, Philipp: EuGH: Schlussanträge des Generalanwalts zur Frage des Personenbezugs bei IP-Adressen, CR 2016, R63–R64. Schmidt, Bernd: Beschäftigtendatenschutz in § 32 BDSG – Perspektiven einer vorläufigen Regelung, DuD 2010, 207–212. Schmidt-Bens, Johanna: Cloud Computing Technologien und Datenschutz, Edewecht 2012. Schmitz, Peter: Datenschutzgerechte Gestaltung von AGB für Telemedia-Dienste, DuD 2001, 395–399. Schneider, Jochen / Härting, Niko: Wird der Datenschutz nun endlich internettauglich? – Warum der Entwurf einer Datenschutz-Grundverordnung enttäuscht, ZD 2012, 199–203. Schneider, Mathias: Cloud Computing und US-amerikanische Ermittlungs-Befugnisse nach dem Patriot Act, in: Taeger (Hrsg.), IT und Internet – mit Recht gestalten, Edewecht 2012, zitiert als: Schneider, in: Taeger (Hrsg.), IT und Internet. Scholz, Matthias / Lutz, Holger: Standardvertragsklauseln für Auftragsverarbeiter und § 11 BDSG – Ein Plädoyer für die Unanwendbarkeit der §§ 11 Abs. 2, 43 Abs. 1 Nr. 2b) BDSG auf die Auftragsverarbeitung außerhalb des EWR, CR 2011, 424–428. Schönke, Adolf / Schröder, Horst (Hrsg.): Strafgesetzbuch – Kommentar, 29. Aufl., München 2014, zitiert als: Bearbeiter, in: Schönke / Schröder, StGB. Schreiber, Kristina / Kohm, Simon: Rechtssicherer Datentransfer unter dem EU-USPrivacy-Shield? – Der transatlantische Datentransfer in der Unternehmenspraxis, ZD 2016, 255–260. Schröder, Christian / Haag, Nils Christian: Neue Anforderungen an Cloud Computing für die Praxis – Zusammenfassung und erste Bewertung der „Orientierungshilfe – Cloud Computing“, ZD 2011, 147–152. ‒ Stellungnahme der Art. 29-Datenschutzgruppe zum Cloud Computing – Gibt es neue datenschutzrechtliche Anforderungen für Cloud Computing?, ZD 2012, 495–501. Schrotz, Jan-Oliver / Zdanowiecki, Konrad: Cloud Computing für die öffentliche Hand – Rechtliche Schlüsselthemen und Lösungsansätze, CR 2015, 485–492. Schultze-Melling, Jyn: Public Cloud – quo vadis? – Gedanken zum Umgang mit der Wolke, ITRB 2011, 239–240.
276 Literaturverzeichnis Schulz, Carsten: Rechtliche Aspekte des Cloud Computing im Überblick, in: Taeger / Wiebe (Hrsg.), Inside the Cloud, Edewecht 2009, zitiert als: Schulz, in: Taeger / Wiebe (Hrsg.), Inside the Cloud. Schulz, Carsten / Rosenkranz, Timo: Cloud Computing – Bedarfsorientierte Nutzung von IT-Ressourcen, ITRB 2009, 232–236. Schulz, Sönke E.: Cloud Computing in der öffentlichen Verwaltung – Chancen – Risiken – Modelle, MMR 2010, 75–80. Schuppert, Stefan / von Reden, Armgard: Einsatz internationaler Cloud-Anbieter: Entkräftung der Mythen – Rechtlich zulässige Einschaltung von zertifizierten CloudDiensten in Deutschland möglich, ZD 2013, 210–220. Schüßler, Lennart / Zöll, Oliver: EU-Datenschutz-Grundverordnung und Beschäftigtendatenschutz, DuD 2013, 639–643. Schuster, Fabian / Hunzinger, Sven: Zulässigkeit von Datenübertragungen in die USA nach dem Safe-Harbor-Urteil – Amazon, Microsoft, Google und Co. vor dem Aus?, CR 2015, 787–794. Schuster, Fabian / Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen? – Die eigentlichen Unterschiede zu Outsourcing, ASP & Co liegen im Datenschutz und der TK-Anbindung, CR 2010, 38–43. Schwan, Ben: Voll homomorphe Verschlüsselung in der Cloud, 2010, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Voll-homomorphe-Verschluesselung-in-der-Cloud-1021361.html (letzter Abruf: 31.07.2016), zitiert als: Schwan, Voll homomorphe Verschlüsselung in der Cloud. Seffer, Adi: Cloud Computing als Outsourcing 2.0, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen, Köln 2014, zitiert als: Seffer, in: Conrad / Grützmacher (Hrsg.), Recht der Daten und Datenbanken im Unternehmen. Selzer, Annika: Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing – Alternativen zur Vor-Ort-Kontrolle des Auftragnehmers durch den Auftraggeber, DuD 2013, 215–219. ‒ Datenschutz bei internationalen Cloud Computing Services – Das Privileg der Auftragsdatenverarbeitung und die zweistufige Prüfung, DuD 2014, 470–474. Sieber, Ulrich: Der strafrechtliche Schutz des Arzt- und Patientengeheimnisses unter den Bedingungen der modernen Informationstechnik, in: Festschrift für Albin Eser, Menschengerechtes Strafrecht, München 2005, zitiert als: Sieber, in: FS Eser. Siegmund, Alexander: Ein Schritt in die richtige Richtung – Zur Ermöglichung von Outsourcing in der BORA, BRAK-Mitt. 2015, 9–15. ‒ Outsourcing in der Anwaltschaft – (K)eine Lösung auf Satzungsebene?, ZRP 2015, 78–80. Simitis, Spiros (Hrsg.): Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014, zitiert als: Bearbeiter, in: Simitis (Hrsg.), BDSG. Söbbing, Thomas: Cloud und Grid Computing: IT-Strategien der Zukunft rechtlich betrachtet, MMR 2008, Heft 5, XII–XIV.
Literaturverzeichnis277 ‒ Einführung in das Recht der Informations-Technologie (IT-Recht) – Das Leben in parallelen Welten, JURA 2010, 915–922. ‒ (Hrsg.): Handbuch IT-Outsourcing, 4. Aufl., Heidelberg 2015, zitiert als: Bearbeiter, in: Söbbing (Hrsg.), Handbuch IT-Outsourcing. ‒ Safe Harbor 2.0: Das neue Abkommen „EU-US Privacy Shield“, ITRB 2016, 49. ‒ Platform as a Service – Grundlagen, Plattformverträge, AGB, Impressumspflicht, ITRB 2016, 140–142. Sosna, Sven: Daten- und Geheimnisschutz bei Outsourcing-Projekten im Krankenhausbereich, Baden-Baden 2015. Spatscheck, Rainer: Outsourcing trotz Anwaltsgeheimnis: Nationale Lösung – Der erste Diskussionsvorschlag des Deutschen Anwaltvereins: Das bestehende System nutzen, Anwbl. 2012, 478–482. Specht, Louisa / Müller-Riemenschneider, Severin: Dynamische IP-Adressen: Personenbezogene Daten für den Webseitenbetreiber? – Aktueller Stand der Diskus sion um den Personenbezug, ZD 2014, 71–75. Spies, Axel: Cloud Computing – Schwarze Löcher im Datenschutzrecht, MMR 2009, Heft 5, XI-XII. ‒ Cloud Computing: Keine personenbezogenen Daten bei Verschlüsselung, MMRAktuell 2011, 313727. ‒ EU-Kommission billigt den EU-US-Privacy-Shield, ZD-Aktuell 2016, 05235. Spindler, Gerald: Die neue EU-Datenschutz-Grundverordnung, DB 2016, 937–947. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien, 3. Aufl., München 2015, zitiert als: Bearbeiter, in: Spindler / Schuster (Hrsg.), Recht der elektronischen Medien. Splittgerber, Andreas / Rockstroh, Sebastian: Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179–2185. Stiemerling, Oliver / Hartung, Jürgen: Datenschutz und Verschlüsselung – Wie belastbar ist Verschlüsselung gegenüber dem Anwendungsbereich des Datenschutzrechts?, CR 2012, 60–68. Stiemerling, Oliver / Hirschmeier, Markus: Software as a Service in der Praxis – Typische Konfliktfelder und Regelungsbedarf, ITRB 2010, 146–147. Sujecki, Bartosz: Internationales Privatrecht und Cloud Computing aus europäischer Perspektive, K&R 2012, 312–317. Sutschet, Holger: Auftragsdatenverarbeitung und Funktionsübertragung, RDV 2004, 97–146. Szalai, Stephan / Kopf, Robert: Verrat von Mandantengeheimnissen – Ist Outsourcing strafbar nach § 203 StGB?, ZD 2012, 462–468. Taeger, Jürgen / Gabel, Detlev (Hrsg.): Kommentar zum BDSG und zu den Datenschutzvorschriften des TKG und TMG, 2. Aufl., Frankfurt am Main 2013, zitiert als: Bearbeiter, in: Taeger / Gabel (Hrsg.), BDSG.
278 Literaturverzeichnis Thalhofer, Thomas: Grenzenlos: Compliance bei Cloud Computing, CCZ 2011, 222–225. The Washington Post: USA Freedom Act: What’s in, what’s out, 2015, abrufbar im Internet unter: https: // www.washingtonpost.com / graphics / politics / usa-freedomact / (letzter Abruf: 31.07.2016), zitiert als: The Washington Post, USA Freedom Act. Trittin, Wolfgang / Fischer, Esther D.: Datenschutz und Mitbestimmung – Konzernweite Personaldatenverarbeitung und die Zuständigkeit der Arbeitnehmervertretung, NZA 2009, 343–346. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD): FAQ: IPAdressen und andere Nutzungsdaten, 2011, abrufbar im Internet unter: https: // www.datenschutzzentrum.de / ip-adressen / index.html (letzter Abruf: 31.07.2016), zitiert als: ULD, FAQ: IP-Adressen und andere Nutzungsdaten. ‒ Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362 / 14, 2015, abrufbar im Internet unter: https: // www. datenschutzzentrum.de / uploads / internationales / 20151014_ULD-Positionspapierzum-EuGH-Urteil.pdf (letzter Abruf: 31.07.2016), zitiert als: ULD, Positionspapier zu C-362 / 14. Ungerer, Bert: Google-Speicherdienst ausgefallen, 2015, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Google-Speicherdienst-ausgefallen2842415.html (letzter Abruf: 31.07.2016), zitiert als: Ungerer, Google-Speicherdienst ausgefallen. Vahldiek, Axel: Analyse zu Windows 10: „Windows as a Service“, 2015, abrufbar im Internet unter: http: // www.heise.de / newsticker / meldung / Analyse-zu-Windows10-Windows-as-a-Service-2525569.html (letzter Abruf: 31.07.2016), zitiert als: Vahldiek, Analyse zu Windows 10: „Windows as a Service“. Vander, Sascha: Auftragsdatenverarbeitung 2.0? – Neuregelung der Datenschutznovelle II im Kontext von § 11 BDSG, K&R 2010, 292–298. ‒ Möglichkeiten und Grenzen weisungsgebundener Datenweitergabe – Beauftragung von IT-Leistungen in geheimnisschutzrelevanten Geschäftsfeldern nach der EuGH-Rechtsprechung, ZD 2013, 492–497. Voigt, Paul: Internationale Anwendbarkeit des deutschen Datenschutzrechts – Eine Darstellung anhand verschiedener Fallgruppen, ZD 2014, 15–21. Voigt, Paul / Klein, David: Deutsches Datenschutzrecht als „blocking statute“? – Auftragsdatenverarbeitung unter dem USA Patriot Act, ZD 2013, 16–20. Vossen, Gottfried / Haselmann, Till / Hoeren, Thomas: Cloud-Computing für Unternehmen, Heidelberg 2012. Wagner, Axel-Michael / Blaufuß, Henning: Datenexport als juristische Herausforderung: Cloud Computing, BB 2012, 1751–1755. Weber, Marc Philipp / Voigt, Paul: Internationale Auftragsdatenverarbeitung – Praxisempfehlungen für die Auslagerung von IT-Systemen in Drittstaaten mittels Standardvertragsklauseln, ZD 2011, 74–78.
Literaturverzeichnis279 Weichert, Thilo: Der Personenbezug von Geodaten, DuD 2007, 113–119. ‒ Datenschutz auch bei Anwälten?, NJW 2009, 550–554. ‒ Cloud Computing und Datenschutz, DuD 2010, 679–687. ‒ Internet – nationaler und europäischer Regelungsbedarf beim Datenschutz, RDV 2013, 8–14. ‒ EU-US-Privacy-Shield – Ist der transatlantische Datentransfer nun grundrechtskonform? – Eine erste Bestandsaufnahme, ZD 2016, 209–217. Wicker, Magda: Vertragstypologische Einordnung von Cloud Computing-Verträgen – Rechtliche Lösungen bei auftretenden Mängeln, MMR 2012, 783–788. ‒ Ermittlungsmöglichkeiten in der Cloud, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 2, Edewecht 2013, zitiert als Wicker, in: Taeger (Hrsg.), Law as a Service (LaaS) – Bd. 2. ‒ Cloud Computing und staatlicher Strafanspruch – Strafrechtliche Risiken und strafprozessuale Ermittlungsmöglichkeiten in der Cloud, Baden-Baden 2016. Wieczorek, Mirko: Der räumliche Anwendungsbereich der EU-Datenschutz-Grundverordnung – Ein Vergleich von § 1 Abs. 5 BDSG mit Art. 3 DS-GVO-E, DuD 2013, 644–649. Wolf, Joachim: Der rechtliche Nebel der deutsch-amerikanischen „NSA-Abhöraffäre“ – US-Recht, fortbestehendes Besatzungsrecht, deutsches Recht und Geheimabkommen, JZ 2013, 1039–1046. Wolff, Heinrich Amadeus / Brink, Stefan (Hrsg.): Datenschutzrecht in Bund und Ländern – Grundlagen, Bereichsspezifischer Datenschutz, BDSG, München 2013, zitiert als: Bearbeiter, in: Wolff / Brink (Hrsg.), BDSG. Wybitul, Tim: Was ändert sich mit dem neuen EU-Datenschutzrecht für Arbeitgeber und Betriebsräte? – Anpassungsbedarf bei Beschäftigtendatenschutz und Betriebsvereinbarungen, ZD 2016, 203–208. Wybitul, Tim / Patzak, Andrea: Neue Anforderungen beim grenzüberschreitenden Datenverkehr, RDV 2011, 11–18. Wybitul, Tim / Pötters, Stephan: Der neue Datenschutz am Arbeitsplatz, RDV 2016, 10–16. Wybitul, Tim / Rauer, Nils: EU-Datenschutz-Grundverordnung und Beschäftigtendatenschutz – Was bedeuten die Regelungen für Unternehmen und Arbeitgeber in Deutschland?, ZD 2012, 160–164. Wybitul, Tim / Sörup, Thorsten / Pötters, Stephan: Betriebsvereinbarungen und § 32 BDSG: Wie geht es nach der DS-GVO weiter? – Handlungsempfehlungen für Unternehmen und Betriebsräte, ZD 2015, 559–564. Youseff, Lamia / Butrico, Maria / Da Silva, Dilma: Toward a Unified Ontology of Cloud Computing, 2008, abrufbar im Internet unter: http: // ieeexplore.ieee.org / stamp / stamp.jsp?arnumber=4738443 (letzter Abruf: 31.07.2016), zitiert als: You seff / Butrico / Da Silva, Toward a Unified Ontology of Cloud Computing.
Glossar Das Glossar soll einen kurzen Überblick über die in dieser Untersuchung verwendeten IT-Fachbegriffe geben. Es erhebt keinen Anspruch auf Vollständigkeit. Administrator: Benutzer eines Betriebssystems mit maximalen Rechten. Aggregation: Zusammenfassung mehrerer IT-Ressourcen zu einer einheitlichen Ressource. Algorithmus: Folge von Anweisungen zur Lösung einer Aufgabe. Anwendung: Computerprogramm für eine oder mehrere Aufgaben. API: Abkürzung für Application Programming Interface. Application Programming Interface: Programmierschnittstelle. Application Service Provider: Dienstleister, der Application Service Providing anbietet. Application Service Providing: Bereitstellen von Software-Anwendungen über das Internet. Applikation: Siehe Anwendung. ASP: Abkürzung für Application Service Providing. Authentifizierung: Identifizierung und Anmeldung eines Benutzers über Benutzernamen und Passwort oder über den Einsatz biometrischer Daten, Smartcards oder Token. Backup: Datensicherung, d. h. Erstellen einer Kopie von Daten auf einem anderen Speichermedium. Biometrische Daten: Daten, die sich auf bestimmte körperliche Merkmale beziehen; solche Daten, wie z. B. Iris-Scans oder Fingerabdruck-Scans können auch für die Zwei-Faktor-Authentifizierung genutzt werden. Black-Box: Virtueller Container, der verschlüsselte Daten enthält, wobei der CloudAnbieter den Schlüssel für die Entschlüsselung der Daten nicht kennt. Breitbandinternet: Zugang zum Internet mit hoher Datenübertragungsrate. Bring Your Own Device: Nutzung von privaten Geräten, wie z. B. Smartphones, im Unternehmensumfeld. Browser: Zugangsprogramm zum Internet. BYOD: Abkürzung für Bring Your Own Device. CaaS: Abkürzung für Communication-as-a-Service. Client-Software: Anwendung, mit der auf den vom Cloud-Anbieter zur Verfügung gestellten Dienst zugegriffen werden kann.
Glossar281 Cloud: Serververbund des Cloud-Anbieters. Cloud-Anbieter: Dienstleister, der Cloud Computing anbietet. Cloud Computing: Bereitstellen von diversen IT-Ressourcen über das Internet. Cloud-Dienst: Ressourcen, wie z. B. Prozessorleistung, Speicherplatz, Software usw., die vom Cloud-Anbieter bereitgestellt werden. Cloud-Modell: Bestimmt sich nach dem Nutzerkreis der Cloud; unterscheide: Private, Public, Community und Hybrid Cloud. Cloud-Nutzer: Benutzer eines Cloud-Dienstes. Cloud-Service: Engl. für Cloud-Dienst. Cloud-Service-Provider: Engl. für Cloud-Anbieter. Cluster-Computing: Verbindung einer großen Anzahl von identischen Computern über ein Hochgeschwindigkeitsnetzwerk. Communication-as-a-Service: Bereitstellung eines Kommunikationsmittels, wie z. B. einer Videokonferenzanwendung. Community Cloud: Cloud, die sich mehrere Kunden derselben Unternehmenssparte teilen. CSP: Abkürzung für Cloud-Service-Provider. DDoS-Attacke: Abkürzung für Distributed Denial of Service-Attacke. Delivery Model: Siehe Service-Modell. Deployment-Modell: Siehe Cloud-Modell. Desktop-PC: Stationärer PC. Distributed Denial of Service-Attacke: Verursachen der Nicht-Verfügbarkeit eines Dienstes durch eine größere Anzahl von Systemen. Elastic Scaling: Automatische Anpassung der genutzten Ressourcen an den Bedarf des Benutzers. Ende-zu-Ende-Verschlüsselung: Verschlüsselte Übertragung der Daten vom Sender zum Empfänger über alle Zwischenstationen hinweg. Entwicklungsumgebung: Anwendungsumgebung für das Programmieren eigener Programme. Everything-as-a-Service: Begriff, der zeigen soll, dass alle denkbaren Dienste innerhalb einer Cloud bereitgestellt werden können. Firewall: Hardware oder Software zum Schutz des eigenen Rechners oder der eigenen Netzwerkumgebung vor Angriffen von außen. Fragmentierung: Zustand, in dem Daten nicht zusammenhängend auf einem Datenträger gespeichert werden, sondern verstreut auf dem Datenträger liegen. Fully Homomorphic Encryption: Verschlüsselungsmethode, die es ermöglicht, Daten im verschlüsselten Zustand zu bearbeiten. Grid-Computing: Verbindung verschiedener Systeme zu einem Supercomputer.
282 Glossar Hardware: Bezeichnung für alle physischen Komponenten eines Computers, wie z. B. Prozessor oder Festplatte. Hybrid Cloud: Cloud, die eine Kombination aus Private und Public Cloud ist. Hypervisor: Programm, das die physischen Ressourcen auf virtuelle Computer aufteilt. IaaS: Abkürzung für Infrastructure-as-a-Service. IDE: Abkürzung für Integrated Development Environment. IDS: Abkürzung für Intrusion Detection System. Infrastructure-as-a-Service: Bereitstellen von IT-Infrastruktur, wie z. B. Prozessorleistung und Speicherplatz. Integrated Development Environment: Engl. für Entwicklungsumgebung. Intrusion Detection System: System zur Erkennung von Angriffen. Intrusion Prevention System: System zur Abwehr von Angriffen. IP-Adresse: Adresse in Computernetzen, die für die Kommunikation von PC-Systemen erforderlich ist. IPS: Abkürzung für Intrusion Prevention System. IT-Outsourcing: Auslagerung von IT-Ressourcen an einen externen Dienstleister. Kompilieren: Übersetzung des Quelltextes eines Programms in Maschinencode, den ein Computer dann ausführen kann. Lastenverteilung: Verteilung von Berechnungen auf mehrere Systeme, wenn die bisher genutzten Ressourcen ausgelastet sind. Lastspitzen: Kurzfristig auftretende hohe Leistungsnachfrage. Login: Anmelden des Benutzers an einem Computersystem. Logout: Abmelden des Benutzers von einem Computersystem. Metadaten: Informationen über Daten; Metadaten einer Bilddatei sind beispielsweise die Größe, die Auflösung und das Aufnahmedatum des Bildes. Monitoring Tool: Programm zur Überwachung von bestimmten Daten, z. B. Zugriffszeitpunkte auf Daten. Multi-Tenancy-Modell: Architektur eines Computersystems, bei der sich mehrere Benutzer einen Server teilen. Notebook: Transportables Computersystem. Offline: Zustand, in dem ein PC-System nicht mit dem Internet verbunden ist, bzw. Bezeichnung für eine lokale Datenverarbeitung. On-Demand: Ansatz, z. B. Dienstleistungen bei Bedarf flexibel buchen zu können. Online: Zustand, in dem ein PC-System mit dem Internet verbunden ist, bzw. Bezeichnung für eine Datenverarbeitung über das Internet. Online-Speicherdienst: Speicherplatz, der nicht lokal auf einem PC liegt, sondern im Internet von einem Anbieter bereitgestellt wird.
Glossar283 Outsourcing: Auslagerung von Dienstleistungen an einen externen Anbieter. PaaS: Abkürzung für Platform-as-a-Service. Paralleles Rechnen: Gleichzeitige Durchführung von Berechnungen derselben Aufgabe auf mehreren Computersystemen. Paralleles System: System, das durch Zusammenschaltung von PC-Systemen darauf ausgerichtet ist, parallele Berechnungen durchzuführen. Partitionierung: Aufteilung einer zentralen IT-Ressource in mehrere „kleinere“ Ressourcen. Patch: Programm oder Teil eines Programms, dessen Aufgabe es ist, Sicherheitslücken in einem bestehenden Programm zu schließen. Pay per Use: Ansatz, nur für die Leistungen bezahlen zu müssen, die tatsächlich genutzt werden. Platform-as-a-Service: Bereitstellen einer Entwicklungsumgebung. Pool / Pooling: Zusammenfassen von IT-Ressourcen zu einem Vorrat, der wiederum an die Kunden flexibel verteilt werden kann. Private Cloud: Cloud, die exklusiv ein Kunde benutzt. Proprietäres Format: Geschütztes Dateiformat, das nur von einem oder wenigen Programmen bzw. Herstellern unterstützt wird. Public Cloud: Cloud, die einem offenen Benutzerkreis zur Verfügung gestellt wird. Reporting Tool: Programm zur Meldung bestimmter Vorgänge in Computersystemen an den Benutzer. SaaS: Abkürzung für Software-as-a-Service. Schnittstelle: Ort, an dem Hardware oder Software miteinander kommuniziert. Self Service: Ansatz, mit dem der Benutzer in eigener Regie IT-Ressourcen buchen kann. Server: Computersystem, das den Benutzern diverse Dienste zentral im Netzwerk zur Verfügung stellt. Serverfarm: Ansammlung von Servern in einem Rechenzentrum. Service: Dienstleistung, die der Cloud-Anbieter den Kunden zur Verfügung stellt. Service Level Agreement: Vereinbarung des Auftraggebers mit dem Auftragnehmer über gewisse Bedingungen der Bereitstellung eines Dienstes, wie z. B. die zugesicherte Erreichbarkeit des Dienstes, und die Folgen der Verletzung dieser Bedingungen. Service-Modell: Erscheinungsform des Cloud-Dienstes; die drei Haupterscheinungsformen sind IaaS, PaaS und SaaS. Service-orientierte Architektur: IT-Architektur, die dafür sorgen soll, dass Dienste, die über das Internet bereitgestellt werden, in die lokale IT-Infrastruktur eingebunden werden können. Sicherheitslücke: Fehler in einem Programm, den ein böswilliger Angreifer zum Eindringen in ein Computersystem verwenden kann.
284 Glossar Single-Tenancy-Architektur: Architektur eines Computersystems, bei der jeder Benutzer auf einen eigenen Server zugreift. Skalierbarkeit: Fähigkeit eines Systems, die Leistung durch Hinzufügen weiterer Ressourcen steigern bzw. durch Entfernen von Ressourcen verringern zu können. SLA: Abkürzung für Service Level Agreement. Smartcard: Plastikkarte mit Chip, die z. B. zur Prüfung der Zugangsberechtigung verwendet werden kann; Smartcards werden häufig im Rahmen einer ZweiFaktor-Authentifizierung verwendet. Smartphone: Mobiltelefon, das die Fähigkeit eines tragbaren Computersystems besitzt. SOA: Abkürzung für Service-orientierte Architektur. Software: Sammelbegriff für Programme und Betriebssysteme und die zugehörigen Daten. Software-as-a-Service: Bereitstellen von Programmen. Software-Lizenz: Berechtigung zur Nutzung eines Programms. Soziales Netzwerk: Online-Dienst, über den sich Personen vernetzen und miteinander kommunizieren können; bekanntestes Beispiel ist Facebook. Tablet: Besonders leichtes tragbares Computersystem, das über einen berührungsempfindlichen Bildschirm gesteuert wird. Token: Hardware-Komponente, wie z. B. ein USB-Stick, zur Identifizierung und Authentifizierung eines Benutzers; Token werden häufig im Rahmen einer ZweiFaktor-Authentifizierung verwendet. Update: Programm oder Teil eines Programms, das einem bestehenden Programm neue Funktionen bereitstellt. Utility-Computing: Bereitstellung von IT-Ressourcen an Benutzer; dabei steht der Gedanke im Vordergrund, IT-Ressourcen wie Wasser und Strom beziehen zu können. Vendor Lock-In: Bindung des Kunden an einen Cloud-Anbieter, z. B. durch Nutzung eines proprietären Formats. Verschlüsselung: Veränderung von Daten zum Schutz vor unbefugten Zugriffen. Verteiltes System: Computersystem, das durch Zusammenschaltung mehrerer einzelner Computer entsteht. Virtual Machine Monitor: Andere Bezeichnung für Hypervisor. Virtualisierung: Technologie zur Entkopplung von Hardware und Software; aus einem physischen Computer können so mehrere virtuelle Computer gemacht werden. Virtuelle Maschine: Programm, das den auf der virtuellen Maschine laufenden Programmen „vorgaukelt“, es sei ein physischer Computer. VM: Abkürzung für virtuelle Maschine. VMM: Abkürzung für Virtual Machine Monitor.
Glossar285 Web-Mail: Programm, das über den Browser aufgerufen wird und zur Verwaltung von E-Mails dient. Webanwendung: Programm, das nicht lokal auf dem PC installiert ist, sondern über den Browser verwendet wird. Windows 10: Aktuellste Version des Betriebssystems von Microsoft; Windows 10 soll die „letzte“ Windowsversion sein; neue Funktionen werden in gewissen Abständen von Microsoft kostenlos zur Verfügung gestellt. XaaS: Abkürzung für Everything-as-a-Service. Zwei-Faktor-Authentifizierung: Anmeldeverfahren, das aus zwei Komponenten, z. B. Passwort und Token, besteht.
Sachverzeichnis Adressatentheorie 108 Amazon 35, 41, 49, 54, 68, 69, 157, 172, 196 Analogie 185 Angemessene Garantien 212 ff. Angemessenes Datenschutzniveau 193 f., 220 Angemessenheit 118 Angriffsfläche 65, 66 Anonymisierung 85 f., 88 f., 98, 229 Anti-FISA-Klausel 220 Anwaltskanzlei 222, 225 Anwendung 50 Anwendungsbereich Datenschutzrecht 71 ff. –– Räumlicher Anwendungsbereich 225 –– Räumlicher Anwendungsbereich BDSG 104 ff. –– Räumlicher Anwendungsbereich DS-GVO 110 f. –– Sachlicher Anwendungsbereich BDSG 73 ff. –– Sachlicher Anwendungsbereich DS-GVO 102 ff. –– Subsidiarität BDSG 73 Application Server 93 f. Application Service Providing (ASP) 40 f., 42, 62 Arbeitnehmerüberlassung 241 Artikel-29-Datenschutzgruppe 90, 146, 149, 208 f., 216, 217 Audit 169 f. Auffanggesetz 73 Auffangtatbestand 100 Auftragsdatenverarbeitung 69 f., 99, 100, 106 f., 111 f., 140 ff., 226 f., 234, 236
–– Drittstaat 181 ff., 191 –– DS-GVO 178 f. –– Erlaubnistatbestand für Nutzung 177 –– Funktionsübertragungstheorie 144 f. –– Innerhalb EU bzw. EWR 180 –– Kontrollen 162 f., 165 ff. –– Privilegierungswirkung 174 ff., 178 f., 180, 182 ff., 220 –– Rechtsnatur 141 ff. –– Schriftform 159 f., 178 –– Technische und organisatorische Maßnahmen 150 ff. –– Unterauftragnehmer 173 f. –– Vertragsgestaltung 158 ff. –– Vertragstheorie 146 f. –– Voraussetzungen 149 ff. –– Weisungsgebundenheit 164 f., 172 f. –– Zertifizierung 169 ff. Auftragskontrolle 156 Auslegung 183 f. Authentifizierung 153 Availability Zones 218 Backup 49, 51 f., 64, 68, 92, 95, 157, 165, 240 Berechtigte Interessen 117 Berufsordnung für Rechtsanwälte 222, 224, 237, 243 ff. Beschäftigtendaten 123 ff., 128, 177 Beschäftigtendatenschutz 130, 140 Besondere Arten personenbezogener Daten 95 f., 121, 123, 125 f., 133 f., 141, 167, 177, 185, 186, 191 Bestandsdaten 77 Bestimmbarkeit 82 ff. –– Theorie des absoluten Personenbezugs 83
Sachverzeichnis287 –– Theorie des relativen Personenbezugs 84 –– Vermittelnde Ansicht 84 f. Bestimmtheit 81 f. Betreibersicherheit 93 Betriebsvereinbarung 111, 138 ff., 190 Betroffener 70, 97, 148, 223 Binding Corporate Rules (BCR) 216 f. Black-Box 49, 92 Breitbandinternetverbindung 40, 46, 60 Broad Network Access 32 Browser 32, 50, 52, 60, 78, 93, 147 Bundesarbeitsgericht 131, 134, 137, 138 Bundesgerichtshof 82, 86, 118, 244 Bundesrechtsanwaltsordnung 222, 224, 237 Bundesverfassungsgericht 71, 130 Client-Software 50, 52, 78 Cloud-Anbieter 69 Cloud-Anbieter Vorteile 61 ff. Cloud Computing 41 f. –– Begriff 25 –– Beteiligte Personen 68 ff. –– Charakteristika 32 –– Cloud-Modelle 52 ff., 66 –– Datensicherheit 61, 63 ff., 122, 148, 150 –– Definition 31 ff. –– Erscheinungsformen 47 ff. –– Geschäftsmodell 25, 38, 41 f., 56 –– Hauptanwendungsfeld 28 –– Historische Entwicklung 35 ff. –– Nachteile 65 ff. –– Pyramidenmodell 48 –– Techniken und Technologien 42 ff. –– Vorteile 57 ff. –– Wirtschaftliche Bedeutung 26 f., 56 f. Cloud-Nutzer 69 Cluster-Computing 36 f.
Communication-as-a-Service (CaaS) 75 Community Cloud 54, 56, 242 f. Datenschutz-Grundverordnung 71 ff. –– Anti-FISA-Klausel 220 –– Auftragsdatenverarbeitung 178 f. –– Bestimmbarkeit 102 ff. –– Betriebsvereinbarung 140 –– Einwilligung 136 f. –– Erlaubnistatbestände 127 f. –– Feststellung der Angemessenheit 194 –– Internationaler Kontext 220 –– Marktortprinzip 110 –– Personenbezogene Daten 102 –– Prinzip des Verbots mit Erlaubnisvorbehalt 111 –– Privilegierungswirkung 220 –– Räumlicher Anwendungsbereich 110 f. –– Recht auf Datenportabilität 67 –– Sachlicher Anwendungsbereich 102 ff. –– Verantwortlicher 100 –– Verarbeitungsbegriff 98 –– Zweiteilung 101 Datenschutzbehörden 83 Datenschutzrichtlinie 71, 98, 100, 101, 105, 110, 127, 139, 140, 146, 184, 185, 187 ff., 193, 194, 210 Datensparsamkeit 208 Datenverarbeitungsanlage 73, 101, 152 DATEV e.G. 242 Diensteanbieter 75 Doppelarbeitsverhältnis 241 Dritter 99, 145 Drittstaat 112, 219, 220 –– Angemessene Garantien 212 ff. –– Auftragsdatenverarbeitung 181 ff., 191 –– Binding Corporate Rules (BCR) 216 f. –– Einwilligung 211 –– Erlaubnistatbestand 212 –– EU-Standardvertragsklauseln 213 ff.
288 Sachverzeichnis –– Genehmigung Aufsichtsbehörde 212 f. –– Übermittlung 180 f., 189 ff. Dropbox 49, 57 Düsseldorfer Kreis 181, 198 Effet utile 184, 187, 190 Eingabekontrolle 156 Einwilligung 96, 111, 128 ff., 177, 186, 226 f. –– Bestimmtheit 131 f. –– Drittstaat 189, 211 –– DS-GVO 136 f. –– EU bzw. EWR 179 f. –– Freiwilligkeit 129 ff., 137 –– Nachträgliches Einholen 135 f. –– Praktikabilität 136, 211 –– Schriftform 132 f., 136 f. –– Sensible Daten 133 f. –– Versagung 134 f. –– Widerruf 134, 137 Einzelangaben 80 f. Elastic scaling 59 Entwicklungsumgebung 50 Erforderlichkeit 117 Erheben 97 f. Erlaubnistatbestand 100, 111 f., 128 f., 135, 176, 177, 183, 187, 189 f., 210 ff., 220, 226 f. EU-Standardvertragsklauseln 184 ff., 213 ff. Europäischer Gerichtshof 28, 82 f., 127, 139, 187 ff., 201 ff., 213 ff., 237 Facebook 57, 196, 201, 206 Faktische Datenverarbeitung 186 Fiktion 141 FISA 199 f. Flexibilität 53, 54, 58, 59, 62, 117, 119 Fragmentierung 96 Fully Homomorphic Encryption 92, 95 Funktionsübertragungstheorie 144 f. Gag order 200 Gehilfe 232 ff.
Genehmigung Aufsichtsbehörde 212 f. Genossenschaft von Berufsgeheimnisträgern 242 Google 29, 35, 41, 50, 54, 57, 69, 157, 172, 196 Grenzüberschreitung 105 ff., 181 f. Grid-Computing 37 f. Größe des Cloud-Anbieters 122 Großunternehmen 55 f., 121 f. Grundrechte-Charta 202 ff. Hybrid Cloud 55, 56 IBM 54 Informationeller Schutzbereich 233 Informierte Entscheidung 131 f. Infrastructure-as-a-Service (IaaS) 43 f., 48 f., 51 f., 59, 78 Inhaltsdaten 77 f. Interessenabwägung 118, 122, 125, 128, 141, 186, 190 Interessen des Kunden 119 Interessen des Unternehmens 119 Internationales Kollisionsrecht 109 Intransparenz 65 f. IP-Adresse 77, 82 IT-Outsourcing 38 f., 42, 52, 62, 171 KMU 27, 28 f., 49, 51 f. , 55 f., 61, 118, 148, 160, 168, 172, 216, 222, 225, 243 Kommunikatives Element 76 Kontrollen 162 f., 165 ff. Kontrollverlust 65 ff. Kopplungsverbot 129 ff., 137 Kosten 53, 54, 62 f., 117, 119 Lastverteilung 44, 49, 55, 60 Löschen 99, 165, 231 Measured Services 32 Microsoft 29, 35, 50, 54, 57, 69, 157, 172, 196, 218 f. Modifizierte Interessenabwägung 186
Sachverzeichnis289 Multi-Tenancy-Modell 32, 39, 50, 61 ff., 65, 154 Natürliche Person 97 Nicht-Dritter 99, 141 f., 174 f., 182 Niederlassungsort 108 f. Niederlassungsprinzip 106 NIST-Definition 31 f., 35 Normadressat BDSG 100 f. NSL 200 Nutzung 100, 112, 180 Nutzungsdaten 77 f. Offenbaren 229 f. Öffnungsklausel 72, 127 f. Ombudsperson 208 f. On-demand Self-Service 32 Organisationskontrolle 151 Organisatorische Einbindung 232 f. Ort der Datenverarbeitung 107 Paralleles Rechnen 37 Pay per use 38, 41 f., 59 Personenbezogenes Datum 80 ff. Platform-as-a-Service (PaaS) 49 f., 51 f., 59 Prinzip des Verbots mit Erlaubnisvorbehalt 111 f., 179, 225 f. PRISM 201 Privacy Boxen 93 f. Privacy Shield 207 ff. Private Cloud 52 f., 55 f., 66 Privilegierungswirkung 174 ff., 178 f., 180, 182 ff. Prüftourismus 168 Pseudonymisierung 89 Public Cloud 29, 53 f., 56, 66, 172, 242 Querschnittsmaterie 71 Rapid Elasticity 32 Rapidshare-Urteil 76 Recht auf Datenportabilität 67
Recht auf informationelle Selbstbestimmung 71, 87, 119, 129, 140, 222 f., 227, 237 Relativierung 183 Resource Pooling 32 Safe Harbor 195 ff. –– EuGH-Urteil 199 ff. –– Grundlagen 195 ff. –– Kritik 198 f. –– Nachfolge 207 ff. –– Prinzipien 197 SAP 54 Schichtenmodell 74 Schnittstelle 46, 66 Schriftform 132 f., 136 f., 159 f., 178 Schutzlücken 87 Schweigepflicht 222 ff., 225 f., 232 Sealed Cloud 93 ff., 242 f. Security by Obscurity 151 Security by Transparency 151 Selbstzertifizierung 195 f., 207 Sensibilität 121 Sensible Daten 56, 95 f., 121, 123, 126, 134, 141, 167, 177, 185, 186, 191 Service Level Agreement (SLA) 67, 160 Service-orientierte Architektur (SOA) 46 Single-Tenancy-Modell 39, 40, 61 ff., 65 Sitzlandprinzip 105 f., 181 f. Skalierbarkeit 36, 39, 41, 44, 59 f. Snowden-Enthüllungen 200 f. Software-as-a-Service (SaaS) 42, 44, 50 f., 51 f., 59, 66, 78 f., 92, 93, 153, 155, 171, 240 Sozialadäquanz 243 ff. Sozialgesetzbücher 71, 96 Speicherdauer 120 f. Speichern 98 Sperren 99 Stand der Technik 91, 153
290 Sachverzeichnis Standort der Server 108 f. Steuerungsmacht 233 f., 237 f. Strafbarkeit nach § 203 StGB 226, 227 ff. –– Befugnis 230, 240 –– Drittgeheimnis 231 –– Einwilligung 238 ff. –– Fremdes Geheimnis 228 –– Gehilfe 232 ff. –– Geschütztes Rechtsgut 227 –– Sozialadäquanz 243 ff. –– Subjektiver Tatbestand 231 –– Täterkreis, Tathandlung, Taterfolg 229 f. Strafprozessordnung 71, 235 Tatbestandskongruenz 73, 224 Technische und organisatorische Maßnahmen 150 ff. –– Auftragskontrolle 156 –– Eingabekontrolle 156 –– Organisationskontrolle 151 –– Trennungskontrolle 157 –– Verfügbarkeitskontrolle 156 f. –– Weitergabekontrolle 155 –– Zugangskontrolle 152 f. –– Zugriffskontrolle 154 f. –– Zutrittskontrolle 152 Technische Vorteile 59 ff. Telekom 54, 219 Telekommunikation 74 f. Telekommunikationsdienste 74 f. Telekommunikationsgesetz 71, 74 f., 111, 237 Telemedien 76 Telemediengesetz 71, 76 ff., 111 Territorialprinzip 104 f., 138 Theorie des absoluten Personenbezugs 83 Theorie des relativen Personenbezugs 84 Transparenz 122 Trennungskontrolle 157
Treuhänder 219 Trilog 72, 128 Übermittlung 69, 95, 99, 107, 112, 122, 126, 128, 144, 145, 149, 175, 177, 180, 181, 189 ff., 212 Ubiquitäre Verfügbarkeit 60, 117 Umkehrschluss 183 f. Unionsrechtswidrigkeit –– § 3 Abs. 8 Satz 3 BDSG 189 –– § 4b Abs. 2 Satz 2 Halbsatz 2 BDSG 193 Unmittelbare Rechtswirkung 187 ff. Unterauftragnehmer 69 f., 132, 163, 173 f. Unternehmensgröße 122 f. USA 106 f., 183, 192, 194, 195 ff., 210, 217 ff. USA Freedom Act 207 US Patriot Act 199 ff. Utility-Computing 38, 59 Vendor Lock-In 66 f. Verändern 98 Verantwortliche Stelle 69, 100, 107, 142, 148, 172, 175, 213 Verarbeiten 98 f. Verarbeitungszweck 120 Verfügbarkeitskontrolle 156 f. Verhältnis anwaltliches Berufsrecht und Datenschutzrecht 222 ff. Verhältnismäßigkeit 118, 124, 138, 150 Verschlüsselung 49, 52, 90 f., 92, 93 ff., 153, 229, 240 f. Verschwiegenheitserklärung 241 Verteilte Systeme 36, 41 f. Vertragstheorie 146 f. Vertrauenswürdigkeit des Cloud-Anbieters 122 Virtualisierung 39, 42 ff., 53, 54, 62, 65, 107, 154, 157 –– Aggregation 43 –– Hypervisor 43 f., 49, 50, 51, 54, 62, 154, 157 –– Partitionierung 43
Sachverzeichnis291 –– Virtual Machine Monitor (VMM) 43 f., 49, 50, 51, 54, 62, 154, 157 –– Virtuelle Maschine (VM) 43 f. Volkszählungsurteil 71 Vollharmonisierende Wirkung 139, 140, 180, 187 ff. Vorrang spezialgesetzlicher Regelungen 74 –– Vorrang TKG 74 f. –– Vorrang TMG 76 ff. Wahrung berechtigter Interessen 116 ff. Weisungsgebundenheit 164 f., 172 f., 233 Weitergabekontrolle 155
Widerruf 134, 137, 239 Windows-as-a-Service 26 Wirtschaftliche Vorteile 58 f. XaaS (Everything-as-a-Service) 47 f. Zertifizierung 94, 169 ff. Zugangskontrolle 152 f. Zugriffskontrolle 154 f. Zutrittskontrolle 152 Zweckbindungsgrundsatz 120 Zweistufige Prüfung 181, 183, 189, 220 –– Erste Stufe 189 ff. –– Zweite Stufe 192 ff.